GİRİŞ
Microsoft, MS12-006 güvenlik bültenini yayımladı. Güvenlik bülteninin tamamını görüntülemek için aşağıdaki Microsoft web sitelerinden birini ziyaret edin:
-
Ev kullanıcıları:
http://www.microsoft.com/tr-tr/security/pc-security/bulletins/201201.aspxAyrıntıları atla: Ev veya dizüstü bilgisayarınız için güncelleştirmeleri şimdi Microsoft Update web sitesinden indirin:
-
BT uzmanları:
http://technet.microsoft.com/tr-tr/security/bulletin/ms12-006
Bu güvenlik güncelleştirmesiyle ilgili yardım ve destek alma
Ev kullanıcıları, ABD'de ve Kanada'da 1-866-PCSAFETY numarasını arayarak
(yerel telefon numarasını öğrenmek için lütfen bu sayfayı ziyaret edin) veya yerel Microsoft temsilcisine başvurarak ücretsiz destek alabilir. Güvenlik güncelleştirmeleri sorunlarıyla ilgili olarak yerel Microsoft temsilcinize başvurma konusunda daha fazla bilgi için, Microsoft Uluslararası Destek Web sitesini ziyaret edin:
http://support.microsoft.com/common/international.aspx?ln=tr&rdpath=4 Kuzey Amerika'daki müşteriler aşağıdaki Microsoft Web sitesini ziyaret ederek ücretsiz e-posta desteğine veya sohbet yoluyla destek seçeneklerine sınırsız erişim sağlayabilir:
https://consumersecuritysupport.microsoft.com/default.aspx?locale=tr-tr&st=1&wfxredirect=1 Kurumsal müşteriler, her zamanki destek kişilerinden güvenlik güncelleştirmeleriyle ilgili destek alabilir.
Benim adıma düzelt
İki adet Fix it çözümü kullanılabilir.
-
Internet Explorer'da Aktarım Katmanı Güvenliği (TLS) 1.1 için Fix it çözümü: Çözüm, Windows Internet Explorer üzerinde bu güvenlik açığından etkilenmeyen TLS 1.1'i etkinleştirir. Normal kullanıcıların çoğu bu Fix it çözümünü yüklemelidir.
-
Windows tabanlı sunucularda TLS 1.1 için Fix it çözümü: Çözüm, güvenlik açığından etkilenmeyen TLS 1.1'i etkinleştirir.
Bu bölümde açıklanan Fix it çözümlerinin herhangi bir güvenlik güncelleştirmesinin yerini alması amaçlanmamaktadır. Her zaman en son güvenlik güncelleştirmelerini yüklemenizi öneririz. Ancak, bu Fix it çözümlerini bazı senaryolar için geçici çözüm seçenekleri olarak sağlıyoruz.
Geçici çözümler hakkında daha fazla bilgi için MS12-006 güvenlik bültenine bakın:http://technet.microsoft.com/tr-tr/security/bulletin/ms12-006 Bülten sorun hakkında daha fazla bilgi sağlar ve aşağıdakileri içerir:
-
Bu geçici çözümü uygulayabileceğiniz veya devre dışı bırakabileceğiniz senaryolar
-
Azaltıcı etkenler
-
Geçici çözümler
-
Sık sorulan sorular
Özellikle bu bilgiyi görmek için, Güvenlik Açığı Bilgisi bölümüne bakın ve ardından SSL ve TLS Protokolleri Güvenlik Açığı - CVE-2011-3389 paragrafının altındaki Geçici Çözümler paragrafını genişletin.
Internet Explorer'da TLS 1.1 için Fix it çözümü
Bu Fix it çözümünü etkinleştirmek veya devre dışı bırakmak için, Fix it düğmesini veya Etkinleştir ya da Devre Dışı Bırak başlığının altındaki bağlantıyı tıklatın. Dosya Yükleme iletişim kutusunda Çalıştır'ı tıklatın ve Fix it Sihirbazı'ndaki adımları izleyin.
Etkinleştirme |
Devre Dışı Bırakma |
---|---|
Notlar
-
Bu sihirbazlar yalnızca İngilizce olabilir. Ancak otomatik düzeltmeler, Windows'un diğer dil sürümleri için de çalışmaktadır.
-
Çalıştığınız bilgisayarda bu sorun yaşanmıyorsa, otomatik düzeltmeyi bir flaş sürücüye veya CD'ye kaydedip daha sonra sorunun yaşandığı bilgisayarda çalıştırabilirsiniz.
Windows tabanlı sunucularda TLS 1.1 için Fix it çözümü
Bu Fix it çözümünü etkinleştirmek veya devre dışı bırakmak için, Fix it düğmesini veya Etkinleştir ya da Devre Dışı Bırak başlığının altındaki bağlantıyı tıklatın. Dosya Yükleme iletişim kutusunda Çalıştır'ı tıklatın ve Fix it Sihirbazı'ndaki adımları izleyin.
Etkinleştirme |
Devre Dışı Bırakma |
---|---|
Notlar
-
Bu sihirbazlar yalnızca İngilizce olabilir. Ancak otomatik düzeltmeler, Windows'un diğer dil sürümleri için de çalışmaktadır.
-
Çalıştığınız bilgisayarda bu sorun yaşanmıyorsa, otomatik düzeltmeyi bir flaş sürücüye veya CD'ye kaydedip daha sonra sorunun yaşandığı bilgisayarda çalıştırabilirsiniz.
Bu güvenlik güncelleştirmesi ile ilgili olduğu bilinen sorunlar
Bu güvenlik güncelleştirmesini yükledikten sonra, kimlik doğrulama hatası veya bazı HTTPS sunucularıyla bağlantının kesilmesi gibi sorunlarla karşılaşabilirsiniz. Bu güvenlik güncelleştirmesi, kayıtların HTTPS sunucularına gönderilme şeklini değiştirdiği için bu sorun oluşur.
Bu güvenlik güncelleştirmesini geçici olarak devre dışı bırakmak veya etkinleştirmek için, Fix it düğmesini veya Güvenlik güncelleştirmesini devre dışı bırak ya da Güvenlik güncelleştirmesini yeniden etkinleştir başlığının altındaki bağlantıyı tıklatın. Dosya Yükleme iletişim kutusunda Çalıştır'ı tıklatın ve ardından Fix it sihirbazındaki adımları uygulayın.
Güvenlik güncelleştirmesini devre dışı bırakma |
Güvenlik güncelleştirmesi yeniden etkinleştirme |
---|---|
Notlar
-
Bu sihirbazlar yalnızca İngilizce olabilir. Ancak otomatik düzeltmeler, Windows'un diğer dil sürümleri için de çalışmaktadır.
-
Çalıştığınız bilgisayarda bu sorun yaşanmıyorsa, otomatik düzeltmeyi bir flaş sürücüye veya CD'ye kaydedip daha sonra sorunun yaşandığı bilgisayarda çalıştırabilirsiniz.
Aşağıdaki tablo, bu Fix it çözümleri tarafından SendExtraRecord kayıt defteri DWORD girdisine uygulanan değerleri gösterir:
Başlık |
SendExtraRecord girdisine uygulanan değer |
---|---|
Güvenlik güncelleştirmesini devre dışı bırakma |
2 |
Güvenlik güncelleştirmesi yeniden etkinleştirme |
0 |
Bu güvenlik güncelleştirmesi ile ilgili olduğu bilinen sorunlar ve daha fazla bilgi
Aşağıdaki makaleler, bu güvenlik güncelleştirmesi bağımsız ürün sürümleriyle ilişkili olduğu için ek bilgiler içermektedir. Bu makaleler bilinen sorunlarla ilgili bilgi içerebilir. Bu durumda, bilinen sorun her bir makale bağlantısının altında listelenir:
Kayıt defteri bilgileri
Önerilmez Bu güvenlik güncelleştirmesini devre dışı bırakmak için aşağıdaki yordamı kullanmanız önerilmez. Ancak, bölünmüş SSL kayıtlarını tüm uygulamalar için etkinleştiren bu yordamı, bu güvenlik güncelleştirmesiyle uyumsuz olan uygulamaları kullanabileceğiniz senaryolar için sağlıyoruz.
Önemli Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz, önemli sorunlar oluşabilir. Bu yüzden, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:322756Windows'da kayıt defteri nasıl yedeklenir ve geri yüklenir? Bu güvenlik güncelleştirmesi, uygulama uyumluluğu sorunları nedeniyle İçerme modunu varsayılan olarak schannel düzeyine ayarlar. Bu güvenlik güncelleştirmesini sistem genelindeki tüm uygulamalar için devre dışı bırakmak üzere, 2 değerine sahip olan SendExtraRecord adında bir DWORD değerini aşağıdaki kayıt defteri alt anahtarına eklemelisiniz.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELBu schannel kayıt defteri girdisini eklemek için şu adımları uygulayın:
-
Başlat'ı tıklatın, Çalıştır'ı tıklatın, Aç kutusuna regedit yazın ve Tamam'ı tıklatın.
-
Kayıt defterinde aşağıdaki alt anahtarı bulun ve tıklatın:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
-
Düzen menüsünde Yeni'nin üzerine gelin ve sonra DWORD Değeri'ni tıklatın.
-
DWORD adı olarak SendExtraRecord yazın ve ENTER tuşuna basın.
-
SendExtraRecord öğesini sağ tıklatın ve ardından Değiştir'i tıklatın.
-
Schannel'daki bölünmüş kaydı devre dışı bırakmak için Değer verisi kutusuna 2 yazın ve Tamam'ı tıklatın.
-
Kayıt Defteri Düzenleyicisi'nden çıkın.
Bu kayıt defteri girdisi, farklı çalışma modları sağlayan üç değer içerebilir:
Reg-key Değeri |
Açıklama |
---|---|
0 |
Schannel, varsayılan olarak "İçerme Modu"nda bulunur. Bu durum, bu güvenlik güncelleştirmesinin, Güvenlik bayrağını schannel'a gönderen tüm çağırıcılar için çalışacağı anlamına gelir. "SendExtraRecord" schannel kayıt defteri girdisi güvenlik paketi tarafından oluşturulmaz. Bu nedenle, schannel kayıt defteri girdisinin olmaması, sistemin bu modu çalıştırdığı anlamına gelir. Eğer bir kişi, bu kayıt defteri anahtarını oluşturur ve değeri 0 olarak ayarlarsa, schannel yeniden bu modda çalışır. Bu ayar, bu kayıt defteri girdisini oluşturmamakla aynı etkiye sahiptir. Oturum başlatma sırasında schannel'a Güvenlik bayrağı gönderen uygulamalar yalnızca düzeltilmiş güvenlik kod yolunu sınarlar. Diğer uygulamalar için schannel davranışında değişiklik olmaz. Bu güvenlik güncelleştirmesi, tarayıcı kullanım senaryolarını korumaya yardımcı olmak için Güvenlik bayrağı göndermek üzere Internet Explorer kullanılarak yapılan web taramalarındaki uygulama katmanlarını da düzeltir. Not Windows Server 2003'te, WinHTTP API'lerini kullanan HTTP istemci uygulamalarını güvence altına almaya yardımcı olmak için güvenlik güncelleştirmesi 2638806 yüklenmelidir. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:2638806 MS12-006: Windows Server 2003 ve Windows XP Professional x64 Edition'daki Winhttp güvenlik güncelleştirmesi: 10 Ocak 2012'nin açıklaması |
1 |
Değeri 1 olarak ayarlamak "tümü için etkinleştirildi" demektir. Bu durum, çağırıcıların bayrağı göndermesi gerekmediği ve schannel'ın tüm SSL kayıtlarını böleceği anlamına gelir. Ayarlanmış bu değer sayesinde uygulamaların başka değişikliğe ihtiyacı kalmaz. Sistem güvenliği hakkında endişeleri olan bir müşteri, bu kayıt defteri anahtarını etkinleştirerek sistemini daha güvenli hale getirebilir. |
2 |
Değeri 2 olarak ayarlamak, "tümü için devre dışı bırakıldı" demektir. Bu durum, uygulamanın yaptığı herhangi bir şifreleme çağrısı için kayıtların schannel tarafından bölünmeyeceği anlamına gelir. Bu mod, uygulamanın gönderdiği Güvenlik bayrağını dikkate almaz. |
Dahili sınama aracılığıyla, kayıt defteri değerini şirketteki birçok senaryoyu bozabileceği için muhtemelen 1 olarak ayarlayamadığınızı fark ettik. Dolayısıyla, kullanıcıların bunu kullanmasını istemiyoruz.
SendExtraRecord kayıt defteri girdisini etkinleştirme ile ilgili olduğu bilinen sorunlar
-
SendExtraRecord kayıt defteri değerinin 1 olarak ayarlanması, schannel'deki veriyi şifrelemek için her çağrıda kayıt bölünmesini zorlar. Bu durum, oturum başlatma sırasında çağırıcı Güvenlik bayrağını gönderse de göndermese de oluşur.
-
Schannel'ı kullanan çoğu uygulama, alıcı tarafının, uygulama verisinin tek bir pakette paketleneceğini varsayması için yazılmıştır. Bu durum, uygulama schannel'ı şifre çözme için çağırsa bile oluşur. Uygulamalar schannel tarafından belirlenen bayrağı yok sayar. Bayrak, alıcı tarafından şifresi çözülecek ve alınacak daha fazla veri olduğunu uygulamaya gösterir. Bu yöntem, schannel kullanmanın MSDN tarafından önceden belirlenen yöntemini izlemez. Çünkü güvenlik güncelleştirmesinin kayıt bölünmesini zorlaması bunun gibi uygulamaları bozar.
-
Başarısız uygulamalar Microsoft ürünlerini ve kutu bileşenlerini içerir. Aşağıdakiler SendExtraRecord kayıt defteri değeri 1 olarak ayarlandığında başarısız olabilen senaryolara örnektir:
-
-
Tüm SQL ürünleri ve SQL üzerinde oluşturulan uygulamalar.
-
Ağ Düzeyinde Kimlik Doğrulama'nın (NLA) açık olduğu Terminal Sunucuları. Varsayılan olarak, Windows Vista ve Windows'un sonraki sürümlerinde NLA etkindir.
-
Bazı Yönlendirme ve Uzaktan Erişim Hizmeti senaryoları.
-
SendExtraRecord kayıt defteri değerini 1 olarak ayarlamak, Windows TLS/SSL kullanan tüm uygulamalara yönelik güvenli kayıt bölünmesini zorlar. Ancak bu ayarda, muhtemelen uygulama uyumluluğu sorunları bulunur. Bu nedenle, müşterilerin bu kayıt defteri ayarını kullanmak yerine TLS 1.1 ve TLS 1.2'yi yapılandırmalarını öneririz. TLS 1.1 ve TLS 1.2 bu sorundan etkilenmez.
Kullanıcılar bu kayıt defteri ayarını kullanmayı düşünüyorsa, bunu gerçekleştirmeden önce uygulama uyumluluğunu kapsamlı olarak sınamalarını öneririz. Bu ayardan etkilendiği bilinen ürünlerden bazıları Microsoft SQL ürünleri, Windows Terminal Sunucusu ve Windows Uzaktan Erişim Sunucusu'dur.SSS
S: Microsoft, sunucu tarafı uygulamamı düzeltmeme yardımcı olmak için neler yapabilir?
A: Şu RFC'lerde açıklandığı gibi, uygulamanızın SSL/TLS uygulama kayıtlarının Bölünmesini işleyebildiğinden emin olun: