简介
Microsoft 已发布安全公告 MS13-066。若要查看完整的安全公告,请访问以下 Microsoft 网站:
如何获取此安全更新的相关帮助和支持
帮助安装更新:Microsoft Update 支持
IT 专业人员安全解决方案:TechNet 安全疑难解答和支持
帮助保护您基于 Windows 的计算机不受病毒和恶意软件危害:病毒解决方案和安全中心
基于国家/地区的本地支持:国际支持
更多信息
有关此安全更新的已知问题
-
安装此安全更新后,您可能会遇到下列已知问题。
问题 1
当登录 (SSO) 令牌变得太大时,用户就无法通过服务器进行身份验证。
较大的 SSO 令牌一般是由用户加入多个组造成的。
问题 2
假设您将 Active Directory 联合身份验证服务 (AD FS) 部署为联合身份验证服务提供程序的标识提供者。或者,假设您将 AD FS 部署为安全令牌服务 (STS),用作令牌感知型应用程序的联合身份验证服务提供程序和标识提供者。如果信任关系没有建立(例如,如果信赖方信任已禁用),那么当用户尝试执行身份验证时,则会一直看到登录页,而不是错误消息。
问题 3
如果您禁用 AD FS 服务器上的 SSO 选项,则向 AD FS 服务器提出的身份验证请求失败。
问题 4
如果向 AD FS 服务器提出的被动身份验证请求需要刷新身份验证,则身份验证失败,且服务器会一直要求您提供凭据。
注意 对于 WS-Fed 机制,声明感知型应用程序可能会使用 wfresh=0 参数来提出刷新身份验证请求。对于 SAMLP 机制,该应用程序可能会改用 ForceAuthN=true 参数。
问题 5
对于自定义 AD FS 2.0 部署,在 SignIn(位于 FormsSignin.aspx.cs 页面代码中)得到调用后添加的自定义部署不会执行。
若要解决这些问题,请安装修补程序 2896713。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:2896713 可通过更新来解决您在 AD FS 服务器上安装安全更新 2843638 之后遇到的多个问题
-
Microsoft 注意到 MS13-066 中所述的安全更新存在会影响 AD FS 2.0 的问题。如果未安装之前发布的更新汇总(即,适用于 Active Directory 联合身份验证服务 2.0 的更新汇总,也称为更新 2790338),则此类问题可能会导致 AD FS 停止运行。
2013 年 8 月 19 日,Microsoft 发布了可解决此问题的安全更新 2843638。我们将向已安装原始更新的客户重新提供安全更新 2843638,并建议客户尽早应用此更新。请注意,安装完成后,客户只会在已安装更新列表中看到 2843638 更新。
安装此安全更新所需的其他步骤
安装此安全更新后,请按照以下步骤手动完成安装:
-
在以下文件夹中,创建自定义的 FormsSignIn.aspx 页面的备份副本:
%systemdrive%\inetpub\adfs\ls 注意-
请确保将此备份存放在一个可靠的存储位置。
-
对 .asp 文件的所有自定义设置应可靠备份。我们建议使用版本控制来完成此操作。
-
-
在备份文件夹中,编辑 FormsSignIn.aspx 页面,在“用户名”和“密码”文本框中添加“autocomplete=off”文本。为此,请按照下列步骤操作:
-
将以下内容:
<asp:TextBox runat="server" ID="UsernameTextBox">
更改为以下内容:
<asp:TextBox runat="server" ID="UsernameTextBox" autocomplete="off"> -
将以下内容:
<asp:TextBox runat="server" ID="PasswordTextBox" TextMode="Password">
更改为以下内容:
<asp:TextBox runat="server" ID="PasswordTextBox" TextMode="Password" autocomplete="off">
-
-
将更新的 FormsSignIn.aspx 页面复制到以下文件夹中:
%systemdrive%\inetpub\adfs\ls
文件信息
此软件更新的英语(美国)版本将安装具有下表所列属性的文件。这些文件的日期和时间按协调世界时 (UTC) 列出。这些文件在您的本地计算机中的显示日期和时间是您的本地时间加上当前夏令时 (DST) 偏差。此外,如果对这些文件执行某些操作,则日期和时间也可能会发生变化。
-
通过检查下表中显示的文件版本号,可以识别适用于特定产品、里程碑 (SPn) 和服务分支(LDR、GDR)的文件:
版本
产品
里程碑
服务分支
6.0.6002.18xxx
Windows Server 2008 SP2
SP2
GDR
6.0.6002.23xxx
Windows Server 2008 SP2
SP2
LDR
-
GDR 服务分支仅包含那些广泛发布以解决广泛分布的关键问题的修补程序。LDR 服务分支包含除广泛发布的修补程序以外的其他修补程序。
注意 已安装的 MANIFEST 文件 (.manifest) 和 MUM 文件 (.mum) 没有列出。
对于所有受支持的基于 x86 的 Windows Server 2008 版本
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Microsoft.identityserver.dll |
6.1.7600.17338 |
778,240 |
01-Jul-2013 |
22:59 |
x86 |
|
Microsoft.identityserver.dll |
6.1.7601.22371 |
786,432 |
01-Jul-2013 |
23:02 |
x86 |
对于所有受支持的基于 x64 的 Windows Server 2008 版本
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Microsoft.identityserver.dll |
6.2.9200.16651 |
871,936 |
28-Jun-2013 |
00:30 |
x86 |
|
Microsoft.identityserver.dll |
6.2.9200.20760 |
871,936 |
28-Jun-2013 |
08:50 |
x86 |
-
通过检查下表中显示的文件版本号,可以识别适用于特定产品、里程碑(RTM、SPn)和服务分支(LDR、GDR)的文件:
版本
产品
里程碑
服务分支
6.1.760 1.18xxx
Windows Server 2008 R2
SP1
GDR
6.1.760 1.22xxx
Windows Server 2008 R2
SP1
LDR
-
GDR 服务分支仅包含那些广泛发布以解决广泛分布的关键问题的修补程序。LDR 服务分支包含除广泛发布的修补程序以外的其他修补程序。
注意 已安装的 MANIFEST 文件 (.manifest) 和 MUM 文件 (.mum) 没有列出。
对于所有受支持的基于 x64 的 Windows Server 2008 R2 版本
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Microsoft.identityserver.dll |
6.1.7601.18195 |
778,240 |
28-Jun-2013 |
13:11 |
x86 |
|
Microsoft.identityserver.dll |
6.1.7601.22370 |
786,432 |
28-Jun-2013 |
05:20 |
x86 |
-
通过检查下表中显示的文件版本号,可以识别应用于特定产品、里程碑(RTM、SPn)和服务分支(LDR、GDR)的文件:
版本
产品
里程碑
服务分支
6.2.920 0.16xxx
Windows Server 2012
RTM
GDR
6.2.920 0.20xxx
Windows Server 2012
RTM
LDR
-
GDR 服务分支仅包含那些广泛发布以解决广泛分布的关键问题的修补程序。LDR 服务分支包含除广泛发布的修补程序以外的其他修补程序。
注意 已安装的 MANIFEST 文件 (.manifest) 和 MUM 文件 (.mum) 没有列出。
对于所有受支持的基于 x64 的 Windows Server 2012 版本
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Microsoft.identityserver.dll |
6.2.9200.16651 |
871,936 |
28-Jun-2013 |
00:30 |
x86 |
|
Microsoft.identityserver.dll |
6.2.9200.20760 |
871,936 |
28-Jun-2013 |
08:50 |
x86 |
