Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Microsoft Security Warning: Cập Nhật cho chiều dài khóa chứng chỉ tối thiểu

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 2661254
GIỚI THIỆU
Microsoft đã phát hành một cố vấn an ninh Microsoft cho các chuyên gia CNTT. Watch này tuyên bố rằng việc sử dụng giấy chứng nhận RSA Key ít hơn 1024 bit dài sẽ bị chặn. Để xem cố vấn an ninh, đi đến web site của Microsoft sau đây:Để giảm nguy cơ bị phơi nhiễm trái phép thông tin nhạy cảm, Microsoft đã phát hành một Cập Nhật nonsecurity (KB 2661254) cho tất cả các phiên bản được hỗ trợ của Microsoft Windows. Bản cập nhật này sẽ chặn mật mã phím ít hơn 1024 bit dài. Bản cập nhật này không áp dụng cho Windows 8 phát hành Xem trước hoặc Windows Server 2012 Release Candidate vì những hệ điều hành đã bao gồm các chức năng để ngăn chặn việc sử dụng chìa khóa RSA yếu mà ít hơn 1024 bit dài.
Thông tin thêm
Sức mạnh của công chúng chìa khóa trên thuật toán mật mã được xác định theo thời gian mà nó cần để lấy chìa khóa tư nhân bằng cách sử dụng phương pháp brute-lực. Các thuật toán được coi là mạnh đủ khi thời gian mà nó cần để lấy chìa khóa tư nhân là đủ prohibitive bằng cách sử dụng tính năng lúc xử lý. Cảnh quan mối đe dọa tiếp tục tiến triển. Vì vậy, Microsoft thêm cứng các tiêu chí cho các thuật toán RSA với độ dài khóa mà ít hơn 1024 bit dài.

Sau khi Cập Nhật được áp dụng, chỉ chứng chỉ về chuỗi được xây dựng bằng cách sử dụng các CertGetCertificateChain chức năng bị ảnh hưởng. CryptoAPI xây dựng một chuỗi sự tin tưởng chứng chỉ và xác nhận rằng chuỗi bằng cách sử dụng thời gian hiệu lực, thu hồi chứng chỉ và giấy chứng nhận chính sách (ví dụ như mục đích dự định). Cập Nhật thực hiện một kiểm tra bổ sung để đảm bảo rằng không có giấy chứng nhận trong chuỗi có một chiều dài khóa RSA ít hơn 1024 bit.

Các vấn đề được biết đến với bản cập nhật bảo mật này

Sau khi Cập Nhật được áp dụng:
  • Khởi động lại được yêu cầu.
  • Một thẩm quyền xác thực (CA) không thể cấp giấy chứng nhận RSA có một chiều dài khóa ít hơn 1024 bit.
  • bản ghi dịch vụ CA (certsvc) không thể Bắt đầu khi CA đang dùng một chứng chỉ RSA có chiều dài ít hơn 1024 bit quan trọng.
  • Internet Explorer sẽ không cho phép truy cập vào một web site được bảo vệ bằng cách sử dụng một giấy chứng nhận RSA có chiều dài ít hơn 1024 bit quan trọng.
  • Outlook 2010 không thể được dùng để mật mã hóa bức e-mail nếu nó đang dùng một chứng chỉ RSA có chiều dài ít hơn 1024 bit quan trọng. Tuy nhiên, bức e-mail đã được mã hóa bằng cách sử dụng một giấy chứng nhận RSA với chiều dài khóa đó là ít hơn 1024 bit có thể được giải mã sau khi Cập Nhật được cài đặt chuyên biệt.
  • Outlook 2010 không thể được dùng để được kí theo số thức bức e-mail cho nếu nó đang dùng một chứng chỉ RSA có chiều dài chính đó là ít hơn 1024 bit.
  • Khi bức e-mail được nhận trong Outlook 2010 có một chữ được kí theo số thức hoặc được mã hóa bằng cách sử dụng một giấy chứng nhận RSA có một chiều dài khóa ít hơn 1024 bit, người dùng nhận được một lỗi nói rằng chứng chỉ là không đáng tin cậy. Người dùng vẫn có thể xem bức e-mail đã mật mã hóa hay đánh dấu kiểm.
  • Outlook 2010 không thể kết nối với Microsoft Exchange server đang dùng một chứng chỉ RSA có chiều dài ít hơn 1024 bit quan trọng cho SSL/TLS. Lỗi sau sẽ được hiển thị: "thông tin bạn trao đổi với site này không thể được xem hoặc thay đổi bởi những người khác. Tuy nhiên, không có vấn đề với chứng chỉ bảo mật của web site. Chứng chỉ bảo mật không hợp lệ. Các web site không phải là đáng tin cậy."
  • Cảnh báo bảo mật của "Không rõ xuất bản" được báo cáo, nhưng việc cài đặt chuyên biệt có thể tiếp tục trong các trường hợp sau:
    • Chữ ký với mã xác thực rằng đã là thời gian đóng dấu kiểm vào năm 2010 hoặc vào một ngày sau đó, và đó được ký kết với một giấy chứng nhận bằng cách sử dụng một giấy chứng nhận RSA có một chiều dài khóa ít hơn 1024 bit đang gặp phải.
    • kiểm nhập bằng cách sử dụng một giấy chứng nhận RSA có một chiều dài khóa ít hơn 1024 bit cài đặt chuyên biệt.
    • điều khiển ActiveX đã đăng bằng cách sử dụng một giấy chứng nhận RSA có chiều dài ít hơn 1024 bit quan trọng. X đang hoạt động điều khiển đã được cài đặt chuyên biệt trước khi cài đặt chuyên biệt bản cập nhật này sẽ không bị ảnh hưởng.
  • Máy tính trung tâm HP-UX PA-RISC hệ thống sử dụng một giấy chứng nhận RSA với chiều dài khóa 512 bit sẽ tạo ra nhịp tim cảnh báo và tất cả các hoạt động quản lý giám sát các máy tính sẽ thất bại. "SSL giấy chứng nhận lỗi" cũng sẽ được tạo ra với các mô tả "ký xác nhận giấy chứng nhận." Ngoài ra, Operations Manager sẽ không khám phá máy tính HP-UX PA-RISC mới vì một lỗi "xác minh đã ký giấy chứng nhận". Hệ thống Trung tâm khách hàng máy tính HP-UX PA-RISC có được khuyến khích để phát hành lại RSA giấy chứng nhận với độ dài khóa ít 1024 bit. Để biết thêm chi tiết, hãy vào web site TechNet sau đây:
Lưu ý Mã hóa EFS không bị ảnh hưởng bởi bản cập nhật này.

Khám phá RSA giấy chứng nhận với độ dài khóa ít hơn 1024 bit

Có bốn chính phương pháp để phát hiện nếu RSA giấy chứng nhận với phím ít hơn 1024 bit sử dụng:
  • Kiểm tra giấy chứng nhận và chứng nhận đường dẫn bằng tay
  • Sử dụng CAPI2 kí nhập
  • Kiểm tra giấy chứng nhận mẫu
  • Kích hoạt tính năng kí nhập vào máy tính có bản Cập Nhật được cài đặt chuyên biệt

Kiểm tra giấy chứng nhận và chứng nhận đường dẫn bằng tay

Bạn có thể kiểm tra giấy chứng nhận bằng tay bằng cách mở chúng và xem các loại, phím dài, và đường dẫn chứng nhận. Bạn có thể làm điều này bằng xem (thường là bằng cách bấm đúp vào) bất kỳ giấy chứng nhận đã được phát hành trong nội bộ. Trên Đường dẫn chứng nhận tab, bấm vào chứng chỉ xem cho mỗi giấy chứng nhận trong chuỗi để đảm bảo rằng tất cả các giấy chứng nhận RSA đang sử dụng ít 1024 bit chính dài.

Ví dụ, chứng chỉ trong các con số sau đây đã được phát hành để một bộ điều khiển tên miền (2003DC.adatum.com) từ một người chủ doanh nghiệp CA tên là AdatumRootCA. Bạn có thể chọn chứng chỉ AdatumRootCA trên tab Đường dẫn chứng nhận .

Chứng nhận đường dẫn tab

Để xem chứng chỉ AdatumRootCA, bấm vào Chứng chỉ xem. Trên ngăn chi tiết , chọn khóa công khai để xem kích thước chủ chốt, như thể hiện trong con số sau đây.

Xem chứng chỉ

Chứng chỉ RSA cho AdatumRootCA trong ví dụ này là 2048 bit.

Sử dụng CAPI2 kí nhập

Trên máy tính đang chạy Windows Vista hoặc Windows Server 2008 hoặc phiên bản mới nhất của Windows, bạn có thể sử dụng CAPI2 kí nhập để giúp xác định các phím có chiều dài ít hơn 1024 bit. Bạn có thể sau đó cho phép các máy tính để thực hiện các hoạt động bình thường và sau đó kiểm tra Nhật ký để giúp xác định các phím có chiều dài ít hơn 1024 bit. Sau đó, bạn có thể sử dụng thông tin đó để theo dõi các nguồn giấy chứng nhận và thực hiện những Cập Nhật cần thiết.

Để làm điều này, trước tiên bạn phải cho phép tiết đoạn khai thác gỗ. Cho phép ghi nhật ký chế độ tiết, hãy làm theo các bước sau:

1. Mở Registry Editor (Regedit.exe).

2. Điều hướng tới đăng ky sau đây:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. Thêm một DWORD (32-bit) value DiagLevel với giá trị của 0x00000005.

4. Thêm một QWORD (64-bit) value DiagMatchAnyMask với giá trị của 0x00ffffff.

Mục nhập DiagMatchAnyMask registry

Sau khi bạn làm điều này, bạn có thể sau đó kích hoạt CAPI2 hoạt động trong sự kiện kí nhập xem. kí nhập CAPI2 hoạt động này nằm dưới các ứng dụng và bản ghi dịch vụ bản ghi, Microsoft, Windows, và CAPI2 trong Event Viewer. Để cho phép khai thác gỗ, bấm chuột phải vào Operational kí nhập, bấm vào Cho phép kí nhập, và sau đó nhấp vào Bộ lọc kí nhập hiện tại. Bấm vào các XML tab, và sau đó bấm vào để chọn các Chỉnh sửa các truy vấn bằng tay hộp kiểm.Cho phép kí nhập

Sau khi bạn đã thu thập các kí nhập, bạn có thể sử dụng các bộ lọc sau để giảm số lượng các mục mà bạn cần phải tra cứu throughto tìm giấy chứng nhận hoạt động với các phím có chiều dài ít hơn 1024 bit. Các bộ lọc sau sẽ cho phím 512 bit.

<QueryList>

<Query id="0" path="Microsoft-Windows-CAPI2/Operational">

<Select path="Microsoft-Windows-CAPI2/Operational">Event[userdata[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512 ']]]]] và UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA ']]]]]]</Select>

</Query>

</QueryList>

Bộ lọc kí nhập hiện tại

Bạn cũng có thể truy vấn cho nhiều phím dài với một truy vấn duy nhất. Cho ví dụ, các truy vấn bộ lọc sau cho 384-bit phím và 512-bit phím.

<QueryList>

<Query id="0" path="Microsoft-Windows-CAPI2/Operational">

<Select path="Microsoft-Windows-CAPI2/Operational">Event[userdata[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384 ']]]]] và UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA ']]]]]] hoặc Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512 ']]]]] và UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA ']]]]]]</Select>

</Query>

</QueryList>

Kiểm tra giấy chứng nhận mẫu

Bạn có thể chạy truy vấn sau đây về cơ quan chứng nhận của bạn (CAs) để khám phá bản mẫu giấy chứng nhận sử dụng phím ít hơn 1024 bit:

certutil – dstemplate | FINDSTR "[msPKI-tối thiểu-Key-Size" | findstr/v "1024 2048 4096"

Lưu ý Bạn nên chạy lệnh trong mỗi rừng trong tổ chức của bạn.

Nếu bạn chạy truy vấn này, mẫu sử dụng phím nhỏ hơn 1024 bit sẽ được hiển thị với kích thước chính của họ. Các con số sau đây cho thấy rằng hai trong số các bản mẫu được xây dựng trong, SmartcardLogon và SmartcardUser, có độ dài khóa mặc định mà có tối thiểu khoá 512 bit. Bạn cũng có thể khám phá các mẫu mà đã được nhân đôi với tối thiểu khoá ít hơn 1024 bit.

Cho mỗi mẫu mà bạn khám phá cho phép ít hơn 1024 bit phím, bạn nên quyết định cho dù nó có thể đến vấn đề cấp giấy chứng nhận như được hiển thị trong Giấy chứng nhận mẫu phần của giao diện điều khiển Certification Authority.

Giấy chứng nhận mẫu phần

Kích hoạt tính năng kí nhập vào máy tính có bản Cập Nhật được cài đặt chuyên biệt

Bạn có thể sử dụng thiết đặt kiểm nhập để cho phép máy tính có bản Cập Nhật được áp dụng để xác định vị trí RSA giấy chứng nhận với độ dài khóa ít hơn 1024 bit. Các tùy chọn cho việc thực hiện kí nhập được diễn tả trong phần "Nghị quyết" bởi vì nó kết hợp chặt chẽ với các thiết đặt kiểm nhập có thể được sử dụng để cho phép độ dài khóa ít hơn 1024 bit. Hãy xem phần "Cho phép độ dài khóa ít hơn 1024 bit bằng cách sử dụng thiết đặt đăng ký" sau này trong bài viết này cho biết thêm thông tin về làm thế nào để cho phép ghi sổ.
Nghị quyết
Việc giải quyết chính cho bất kỳ vấn đề liên quan đến chặn của một chứng chỉ có chiều dài ít hơn 1024 bit quan trọng là để thực hiện một lớn hơn (1024 bit quan trọng dài hoặc lớn hơn) giấy chứng nhận. Chúng tôi đề nghị rằng người dùng thực hiện giấy chứng nhận có một chiều dài khóa ít 2048 bit.

Tăng kích thước quan trọng cho các giấy chứng nhận đã ban hành thông qua chứng chỉ autoenrollment

Đối với mẫu cung cấp giấy chứng nhận RSA với độ dài khóa ít hơn 1024 bit, bạn nên xem xét tăng kích thước tối thiểu chủ chốt để cài đặt chuyên biệt một ít 1024 bit. Điều này giả định rằng các thiết bị mà những chứng chỉ được cấp hỗ trợ cho một kích thước lớn hơn quan trọng.

Sau khi bạn tăng kích thước tối thiểu chính, sử dụng các tùy chọn Reenroll tất cả các chứng chỉ chủ trong các Giao diện điều khiển mẫu giấy chứng nhận để gây ra các khách hàng máy tính để Reenroll và yêu cầu một kích thước lớn hơn quan trọng.

thẻ thông minh kí nhập

Nếu bạn đã cấp giấy chứng nhận bằng cách sử dụng các bản mẫu thẻ thông minh kí nhập hoặc người dùng thẻ thông minh được xây dựng trong, bạn sẽ không thể để điều chỉnh kích thước chính tối thiểu của các mẫu trực tiếp. Thay vào đó, bạn sẽ phải lặp lại các mẫu, tăng kích thước quan trọng trên các mẫu trùng lặp, và sau đó thay thế cho mẫu ban đầu với mẫu nhân đôi.

Cập Nhật Smartcard kí nhập thuộc tính

Sau khi bạn thay thế cho một mẫu, dùng tùy chọn Reenroll tất cả các chứng chỉ chủ để gây ra các khách hàng máy tính để Reenroll và yêu cầu một kích thước lớn hơn quan trọng.

Reenroll tất cả các chủ sở hữu chứng chỉ

Cho phép độ dài khóa ít hơn 1024 bit bằng cách sử dụng thiết đặt kiểm nhập

Microsoft không khuyên bạn nên khách hàng sử dụng giấy chứng nhận ít hơn 1024 bit dài. Khách hàng có thể Tuy nhiên cần một workaround tạm thời trong khi một giải pháp lâu dài hơn được phát triển để thay thế RSA giấy chứng nhận với một chiều dài khóa ít hơn 1024 bit dài. Trong những trường hợp này, Microsoft là cung cấp cho khách hàng các khả năng thay đổi cách các chức năng Cập Nhật. Khách hàng cấu hình các cài đặt chuyên biệt này chấp nhận rủi ro mà kẻ tấn công có thể phá vỡ giấy chứng nhận của họ và sử dụng chúng để spoof nội dung, thực hiện các cuộc tấn công lừa đảo trực tuyến hoặc thực hiện các cuộc tấn công của người đàn ông-trong-trung.

Quan trọngPhần này, phương pháp, hoặc công việc có bước mà cho bạn biết làm thế nào để thay đổi sổ kiểm nhập. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ kiểm nhập trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ kiểm nhập nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ kiểm nhập, hãy nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Làm thế nào để sao lưu và khôi phục sổ kiểm nhập trong Windows
Windows 8 hay Windows Server 2012 dựa trên các máy tính có bản Cập Nhật được áp dụng, các đường dẫn kiểm nhập và cài đặt chuyên biệt có thể được sử dụng để kiểm soát việc phát hiện và ngăn chặn của RSA giấy chứng nhận với ít hơn 1024 bit chính dài.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Có bốn giá trị chính mà kiểm soát như thế nào phím dưới 1024 bit chặn hoạt động. Đây là như sau:
  • MinRsaPubKeyBitLength
  • EnableWeakSignatureFlags
  • WeakSignatureLogDir
  • WeakRsaPubKeyTime
Mỗi người trong số các giá trị và những gì họ kiểm soát được thảo luận trong các phần sau.

hệ điều hành Bắt đầu với Windows Vista và Windows Server 2008, bạn có thể sử dụng certutil lệnh để thay đổi các thiết đặt kiểm nhập. Trên Windows XP, Windows Server 2003 và Windows Server 2003 R2, bạn không thể sử dụng certutil lệnh để thay đổi các thiết đặt kiểm nhập. Tuy nhiên, bạn có thể sử dụng ký biên soạn, reg lệnh hoặc reg tệp.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength là một giá trị DWORD rằng định nghĩa tối thiểu được phép RSA phím dài. theo mặc định, giá trị này không phải là hiện nay, và tối thiểu cho phép chiều dài khóa RSA là 1024. Bạn có thể sử dụng certutil để thiết lập giá trị này để 512 bằng cách chạy lệnh sau:

certutil - setreg chain\minRSAPubKeyBitLength 512

Lưu ýTất cả các lệnh certutil được hiển thị trong bài viết này yêu cầu quyền quản trị viên địa phương vì họ đang thay đổi sổ kiểm nhập. Bạn có thể bỏ qua tin thư thoại mà đọc "các bản ghi dịch vụ CertSvc có thể phải khởi động lại để thay đổi có hiệu lực." Đó là không cần thiết cho các lệnh này bởi vì họ không ảnh hưởng đến các bản ghi dịch vụ chứng chỉ (CertSvc).

Bạn có thể trở lại để chặn phím có chiều dài ít bit than1024 bằng cách loại bỏ giá trị. Để làm điều này, hãy chạy lệnh certutil sau:

certutil - delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

Giá trị DWORD EnableWeakSignatureFlags có 3 giá trị tiềm năng: 2, 4, 6, và 8. các cài đặt chuyên biệt này thay đổi hành vi của như thế nào các phím dưới 1024 bit phát hiện và ngăn chặn hoạt động. Các thiết đặt này được mô tả trong bảng sau:
Giá trị thập phânMô tả
2Khi kích hoạt, chứng chỉ gốc (trong thời gian xây dựng chuỗi) được cho phép để có một chứng chỉ RSA với chiều dài khóa ít hơn 1024 bit. Chặn của RSA chứng chỉ thấp hơn trong chuỗi (nếu họ có ít hơn 1024 bit phím) là vẫn còn ở có hiệu lực. Lá cờ được kích hoạt khi giá trị này được thiết lập là như CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.
4Cho phép kí nhập, nhưng vẫn còn thi hành chặn RSA giấy chứng nhận bằng phím ít hơn 1024 bit. Khi nó được kích hoạt, WeakSignatureLogDir được yêu cầu. Tất cả các phím với ít hơn 1024 bit dài gặp phải được sao chép vào mục tin thư thoại WeakSignatureLogDir vật lý. Lá cờ được kích hoạt khi giá trị này được thiết lập như CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG.
6Khi nó được kích hoạt, chứng chỉ gốc được cho phép để có một giấy chứng nhận RSA Key một ít hơn 1024 bit và WeakSignatureLogDir được yêu cầu. Tất cả các phím dưới đây chứng chỉ gốc có phím ít hơn 1024 bit được chặn và đăng vào mục tin thư thoại được xác định là WeakSignatureLogDir.
8Cho phép ghi sổ và không thi hành chặn phím có chiều dài ít hơn 1024 bit. Khi nó được kích hoạt, WeakSignatureLogDir được yêu cầu. Tất cả các phím gặp có độ dài ít hơn 1024 bit được sao chép vào mục tin thư thoại WeakSignatureLogDir vật lý. Lá cờ được kích hoạt khi giá trị này được thiết lập là như CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG.

Ví dụ

Để cho phép một chứng chỉ gốc RSA có chiều dài khóa ít hơn 1024 bit, sử dụng certutil lệnh sau:

certutil - setreg chain\EnableWeakSignatureFlags 2

Để cho phép ghi sổ trong khi vẫn chặn chứng chỉ sử dụng một chiều dài khóa ít hơn 1024 bit, sử dụng certutil lệnh sau:

certutil - setreg chain\EnableWeakSignatureFlags 4

Để cho phép ghi sổ của chứng chỉ RSA chỉ dưới đây chứng chỉ gốc có một chiều dài khóa ít hơn 1024 bit, sử dụng certutil lệnh sau:

certutil - setreg chain\EnableWeakSignatureFlags 6

Để cho phép kí nhập chỉ và không chặn phím dài ít hơn 1024 bit, sử dụng certutil lệnh sau:

certutil - setreg chain\EnableWeakSignatureFlags 8

Lưu ý Khi bạn cho phép ghi sổ (thiết lập 4, 6, hoặc 8 thập phân), bạn cũng phải cấu hình một mục tin thư thoại kí nhập dưới tên được diễn tả trong phần kế tiếp.

WeakSignatureLogDir

Khi xác định, chứng chỉ có một chiều dài khóa ít hơn 1024 bit được viết vào mục tin thư thoại đã chỉ định. Ví dụ, C:\Under1024KeyLog có thể là các dữ liệu cho các giá trị này. Tùy chọn này được yêu cầu khi EnableWeakSignatureFlags được thiết lập để 4 hoặc 8. Hãy chắc chắn rằng bạn cấu hình bảo mật vào mục tin thư thoại được chỉ định để cho cả Authenticated người dùng và nhóm cục bộ Tất cả các ứng dụng gói đã thay đổi quyền truy cập. Để thiết lập giá trị này cho C:\Under1024KeyLog, bạn có thể sử dụng certutil lệnh sau:

Certutil - setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

Bạn cũng có thể cấu hình WeakSignatureLogDir để viết thư cho cặp mạng chia sẻ. Hãy chắc chắn rằng bạn có quyền thích hợp cấu hình cho vị trí mạng để tất cả các cấu hình người sử dụng có thể ghi vào mục tin thư thoại được chia sẻ. Lệnh sau đây là một ví dụ của cấu hình WeakSignatureLogDir để viết thư cho một mục tin thư thoại có tên phím đó là trong một mục tin thư thoại được chia sẻ mạng có tên RSA ngày Server1:

Certutil - setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

WeakRsaPubKeyTime là một giá trị REG_BINARY 8 byte có chứa một Windows FILETIME kiểu dữ liệu được lưu trữ như UTC/GMT. Giá trị này là sẵn dùng chủ yếu để giảm vấn đề tiềm năng bằng cách chặn phím có chiều dài ít hơn 1024 bit cho chữ ký với mã xác thực. Chứng chỉ được sử dụng để kí nhập mã trước khi cấu hình ngày và thời gian không được kiểm tra cho các phím có chiều dài ít hơn 1024 bit. theo mặc định giá trị kiểm nhập này không phải là hiện nay và được coi là buổi sáng sớm ngày 1 tháng 1 năm 2010 lúc nửa đêm UTC/GMT.

Lưu ýThiết đặt này chỉ được áp dụng khi một chứng chỉ được sử dụng để với mã xác thực đăng một tập tin thời gian đóng dấu kiểm. Nếu các mã không phải là thời gian đóng dấu kiểm, sau đó thời gian hiện nay sử dụng và cài đặt chuyên biệt WeakRsaPubKeyTime không được sử dụng.

Thiết lập WeakRsaPubKeyTime cho phép cấu hình của ngày mà để xem xét cũ chữ ký hợp lệ. Nếu bạn có lý do để thiết lập một ngày khác nhau và thời gian cho WeakRsaPubKeyTime, bạn sẽ có thể dùng certutil để thiết lập một khác nhau. Ví dụ, nếu bạn muốn đặt ngày 29 tháng 8 năm 2010, bạn có thể sử dụng lệnh sau đây:

certutil - setreg chain\WeakRsaPubKeyTime @ 08/03/2010

Nếu bạn phải thiết lập một thời gian cụ thể, chẳng hạn như 6: 00 PM ngày 4 tháng 7 năm 2011, sau đó thêm số ngày và giờ trong định dạng + [dd:hh] vào lệnh. Bởi vì, 6: 00 PM 18 giờ sau khi nửa đêm ngày 4 tháng 7 năm 2011, bạn sẽ chạy lệnh sau:

certutil - setreg chain\WeakRsaPubKeyTime @ 01/15/2011 + 00: 18

Cấu hình cấp giấy chứng nhận trên Internet Information Services (IIS)

Nếu bạn một một khách hàng IIS người đã cấp chứng chỉ mới là 1024 bit hoặc lâu hơn, xem các bài viết sau đây:
Giải pháp
Các tập tin sau đây có sẵn để tải về từ Microsoft Download Center:


Cho tất cả các hỗ trợ x 86 dựa trên phiên bản của Windows XP

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ x 64 dựa trên các phiên bản của Windows XP Professional x 64 edition

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ x 86 dựa trên phiên bản của Windows Server 2003

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ x 64 dựa trên các phiên bản của Windows Server 2003

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ IA-64 dựa trên các phiên bản của Windows Server 2003

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ x 86 dựa trên phiên bản của Windows Vista

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ x 64 dựa trên các phiên bản của Windows Vista

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ x 86 dựa trên phiên bản Windows Server 2008

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ x 64 dựa trên các phiên bản của Windows Server 2008

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ IA-64 dựa trên các phiên bản của Windows Server 2008

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ x 86 dựa trên phiên bản của Windows 7

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ x 64 dựa trên các phiên bản của Windows 7

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ x 64 dựa trên các phiên bản của Windows Server 2008 R2

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ IA-64 dựa trên các phiên bản của Windows Server 2008 R2

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ x 86 dựa trên phiên bản của Windows Embedded tiêu chuẩn 7

Tải vềTải về các gói bây giờ.

Cho tất cả các hỗ trợ x 64 dựa trên các phiên bản của Windows Embedded tiêu chuẩn 7

Tải vềTải về các gói bây giờ.

Ngày phát hành: Tháng Tám 14, 2012

Cho biết thêm thông tin về làm thế nào để tải về Microsoft hỗ trợ tập tin, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
119591 Làm thế nào để có được Microsoft hỗ trợ tập tin từ các bản ghi dịch vụ trực tuyến
Microsoft quét tập tin này cho vi-rút. Microsoft sử dụng phần mềm phát hiện virus mới nhất có sẵn trên ngày mà các tập tin đã được đăng. Các tập tin được lưu trữ trên tăng cường bảo mật máy chủ có thể giúp ngăn ngừa bất kỳ thay đổi không được phép để các tập tin.
THÔNG TIN VỀ TỆP
Đối với một danh sách các tập tin được cung cấp trong các gói, bấm vào liên kết sau:
Cập Nhật từ security_patch security_update an ninh lỗi lỗ hổng lỗ hổng độc hại kẻ tấn công khai thác kiểm nhập unauthenticated đệm overrun tràn phạm vi thành lập đặc biệt đặc biệt crafted chối bản ghi dịch vụ DoS TSE

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 2661254 - Xem lại Lần cuối: 08/21/2012 21:31:00 - Bản sửa đổi: 1.0

, , , , , , , , , , , , , , , , , , ,

  • kbsecadvisory atdownload kbbug kbexpertiseinter kbfix kbsecurity kbsecvulnerability kbmt KB2661254 KbMtvi
Phản hồi