現已發行可讓系統管理員更新 Windows 中斷連線環境中的信任以及不允許的 CTL更新

適用於: Windows Vista Service Pack 2Windows Vista 商用入門版Windows Vista 商用入門 64 位元版

結論


此軟體更新提供下列 Windows 改良功能:
  • 系統管理員可設定加入網域的電腦使用自動更新信任以及不允許的憑證信任清單 (CTL) 的功能。電腦不需要存取 Windows Update 網站就可以使用自動更新功能。
  • 系統管理員可設定加入網域的電腦透過使用自動更新功能,個別選取信任以及不允許的憑證信任清單 (CTL)。

  • 系統管理員可檢查 Microsoft 根憑證計劃中根憑證授權的組合。
如需有關這些變更和改良功能的詳細資訊,請移至下列 Microsoft 網頁:

知識必要條件


此知識庫文章是為公開金鑰基礎結構 (PKI) 系統管理員提供,這些系統管理員對群組原則、協力廠商根目錄更新 、未受信任的憑證和不允許的清單有基本的認識。此知識庫文章也是為能夠編輯簡單 ADM/ADMX 檔案的 PKI 系統管理員提供,他們可透過使用群組原則更新公用程式來部署原則。如需有關如何使用 ADMX 檔案的詳細資訊,請參閱管理群組原則 ADMX 檔案逐步指南 (英文)。

背景


Windows 根憑證計劃可在 Windows 中自動散布信任的根憑證。如需有關 Windows 根憑證計畫中成員清單的資訊,請移至下列 Microsoft 網站:
信任的根憑證可透過下列方法散布:


  • 用戶端可以下載,或使用自動更新機制來更新信任的根憑證。信任的根憑證清單是儲存在 Windows Update 伺服器的憑證信任清單 (信任的 CTL) 上。
如需根憑證散布方式的詳細資訊,請移至下列 Microsoft 網站:
不受信任的根憑證 (公開已知的詐騙憑證) 可以使用下列方法來散布:


  • 用戶端可以下載,或使用自動更新機制來更新不受信任的根憑證。不受信任的根憑證清單會儲存在 Windows 更新伺服器的 CTL (不受信任的 CTL) 上。如需有關自動下載不受信任的根憑證詳細資訊,請移至下列 Microsoft 網站:
注意 信任與不受信任的根憑證的自動更新機制是一樣的。您可以使用相同的登錄設定來停用這兩種憑證的自動更新機制。如需詳細資訊,請參閱控制更新根憑證功能以避免資訊在網際網路上流動 (英文)。

如果您自行管理信任的根憑證組合,則應停用受信任的 CTL 的自動更新機制。

已知問題


安裝此軟體更新之前,管理憑證時您可能會遇到下列問題之一:
  • 若要更新中斷連線環境中信任或不受信任的根憑證,您必須使用此知識庫文章<背景>一節中所述的 IEXPRESS 套件。不過,您必須手動安裝 IEXPRESS 套件。此外,雖然我們嘗試在散布 CTL 當時取得套件,但可能無法及時取得 IEXPRESS 套件。

    注意 中斷連線的環境是下列情況皆成立的環境:
    • Windows Update 的直接存取遭到封鎖。
    • 信任與不受信任的 CTL 的自動更新機制已停用。
  • 您無法個別停用信任與不受信任的 CTL 的自動更新機制。更具體地說,您只可以同時停用信任與不受信任的 CTL 的自動更新機制。

    注意 對於管理自有信任的根憑證清單的系統管理員,我們建議停用信任的 CTL 的自動更新服務。不過,我們不建議系統管理員停用不受信任的 CTL 的自動更新服務。
  • 對於管理自有信任的根憑證清單的使用者,沒有任何機制可方便檢視根程式中的根憑證,並決定要信任的憑證。

解決方案


新的軟體更新包含以下修正,修正了此知識庫文章在<問題描述>一節所述的問題。
  • 此軟體更新在 Windows 加入下列功能,讓您在中斷連線的環境中可以使用自動更新機制:
    1. 新的登錄設定:登錄設定可讓您將從 Windows Update 下載信任與不受信任的 CTL 的網址位置,變更到組織的共用位置。此登錄設定支援 FILE 與 HTTP 的結構描述。如需有關此登錄設定的詳細資訊,請參閱此知識庫文章中的<登錄機碼>一節。

      注意 如果您將網址位址變更為本機共用資料夾,則您必須與 Windows Update 資料夾一起同步處理本機共用資料夾。
    2. Certutil 工具中一組新的選項:這些選項為您提供更多同步處理資料夾的方法。如需有關這些選項的詳細資訊,請參閱此知識庫文章的<Certutil 新動詞命令>一節。
  • 此軟體更新會減少信任與不受信任的 CTL 的自動更新機制。例如,套用更新之後,您只可以使用登錄機碼來停用信任的根憑證的自動更新機制。如需有關登錄機碼的詳細資訊,請參閱此知識庫文章中的<登錄機碼>一節。
  • 此軟體更新引入了一個新的工具,以供系統管理員在 Microsoft 根憑證計劃中檢視信任的根憑證組合時使用。這項工具適合負責管理企業環境下信任的根憑證組合的系統管理員。系統管理員可以使用此工具來選取信任的根憑證組合,匯出至序列化的憑證存放區,並使用群組原則來散布。如需詳細資訊,請參閱此知識庫文章的<Certutil 新動詞命令>一節。

更新資訊

您可以從「Microsoft 下載中心」下載下列檔案:


適用於所有支援的 Windows Vista x86 版本的更新 (英文)

下載 立即下載封裝 (英文)。

適用於所有支援的 Windows Vista x64 版本的更新 (英文)

下載 立即下載封裝 (英文)。

適用於所有支援的 Windows Server 2008 x86 版本的更新 (英文)

下載 立即下載封裝 (英文)。

適用於所有支援的 Windows Server 2008 x64 版本的更新

下載 立即下載封裝 (英文)。

適用於所有支援的 Windows Server 2008 IA-64 版本的更新 (英文)

下載 立即下載封裝 (英文)。

適用於所有支援的 Windows 7 x86 版本的更新 (英文)

下載 立即下載封裝 (英文)。

適用於所有支援的 Windows 7 x64 版本的更新 (英文)

下載 立即下載封裝 (英文)。

適用於所有支援的 Windows Embedded Standard 7 x86 版本的更新 (英文)

下載 立即下載封裝 (英文)。

適用於所有支援的 Windows Embedded Standard 7 x64 系統的 x64 版本的更新 (英文)

下載 立即下載封裝 (英文)。

適用於所有支援的 Windows Server 2008 R2 x64 版本的更新 (英文)

下載 立即下載封裝 (英文)。

適用於所有支援的 Windows Server 2008 R2 IA-64 版本的更新 (英文)

下載 立即下載封裝 (英文)。

適用於所有支援的 Windows 8 x86 版本的更新 (英文)

下載 立即下載封裝 (英文)。

適用於所有支援的 Windows 8 x64 版本的更新 (英文)

下載 立即下載封裝 (英文)。

適用於所有支援的 Windows Server 2012 版本的更新 (英文)

下載 立即下載封裝 (英文)。
發行日期:2011 年 6 月 11 日

如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對此檔案做過病毒掃描。Microsoft 利用發佈當日的最新病毒偵測軟體來掃描檔案。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。

重新開機需求

套用此 Hotfix 之後,必須將電腦重新開機。

Hotfix 取代資訊

此 Hotfix 取代 2661254



檔案資訊

此 Hotfix 的全域版本會安裝具有下表中所列屬性的檔案。這些檔案的日期與時間是以 Coordinated Universal Time (UTC) 表示。本機電腦上這些檔案的日期與時間,是以您當地的時間和目前的日光節約時間 (DST) 的時差來顯示。此外,當您對檔案執行特定作業時,其日期與時間可能會改變。

變更的技術參照


Certutil 新動詞命令

SyncWithWU
此動詞命令是用來同步處理目的地目錄和 Windows Update 網站。下面是此動詞命令的語法:
CertUtil [選項] -syncWithWU  DestinationDir 

注意 DestinationDir 是複製檔案的目標資料夾。當您執行命令時,系統便會從 Windows Update 下載下列檔案:
  • Authrootstl.cab:包含協力廠商根憑證的 CTL。
  • Disallowedcertstl.cab:包含不允許的憑證的 CTL。
  • Disallowedcert.sst:包含不允許的憑證。
  • Thumbprint.crt:協力廠商根憑證。
例如,您可以執行以下命令來同步處理目的地目錄和 Windows Update 網站:
CertUtil -syncWithWU \\computername\sharename\DestinationDir 
GenerateSSTFromWU
此動詞命令是用來從 Windows Update 網站產生 .sst 檔案。下面是此動詞命令的語法:
CertUtil [選項] -generateSSTFromWU SSTFile 
注意 SSTFile 是所建立 .sst 檔案的名稱。產生的 .sst 檔案包含從 Windows Update 下載的協力廠商根憑證。

例如,您可以執行以下命令產生來自 Windows Update 網站的 .sst 檔案:
CertUtil –generateSSTFromWU Rootstore.sst 

登錄機碼

此更新引入了下列登錄機碼:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate 將此登錄機碼設定為 1,以停用信任的 CTL 的自動更新。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdate將登錄設定為 1,以啟用不允許的 CTL 的自動更新。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl這個登錄機碼可設定擷取 CTL 的共用路徑。

取得支援

與我們連絡

加入討論

問社區