簡介
現已發行 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 未受信任憑證的自動更新程式。此更新程式發揮 Windows Vista 和 Windows 7 中的現有自動根目錄更新機制技術,讓受到洩漏或未受信任的憑證可以在某種程度上被具體地標幟為未受信任。
憑證信任清單 (CTL) 是受信任實體所簽署之項目的預先定義清單。該清單中所有項目都已經過受信任的簽署實體驗證及核准。此更新使用內含其公開金鑰或簽署雜湊的 CTL,將已知的未受信任憑證新增到未受信任憑證存放區,來發揮此現有功能。安裝此更新之後,客戶就可享受未受信任憑證快速自動更新的便利。 已和系統中斷連線的使用者,就無法使用此項改良功能。這些客戶仍必須等到根憑證更新發行之後才能進行安裝。請參閱<其他相關資訊>一節。 此更新中可用來連線 Windows Update 以下載未受信任和受信任 CTL 的 URL 已變更。這項變更對於在防火牆中以硬式編碼將這些 URL 設為例外狀況的企業將造成問題。 新的 URL 如下:http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
其他相關資訊
已和系統中斷連線的使用者可以安裝此更新。但那些使用者就無法收到更新。事實上,安裝此更新可能會在伺服器重新啟動後立即遇到服務啟動失敗的問題。當受信任及未受信任的 CTL 嘗試從 Windows Update 抓取網路時,服務啟動期間執行憑證驗證工作的服務可能會遇到更加嚴重的延遲情形。 2813430,以取得詳細資訊。由於這些系統會自動受到保護,因此客戶不必採取任何動作。 如果系統因為未連線到網際網路,或 Windows Update 遭到防火牆規則封鎖而無法存取 Windows Update,在服務可以繼續啟動程序之前,網路抓取將會逾時。在某些情況下,這個網路抓取逾時可能會超過 30 秒的服務啟動逾時。30 秒之後,如果服務無法回報啟動已完成,服務控制管理員 (SCM) 就會停止服務。 如果您無法避免在中斷連線的系統上安裝此更新,可以停用受信任及未受信任 CTL 的網路抓取。若要執行這項操作,請使用「群組原則」設定來停用自動根目錄更新。若要使用原則設定來停用自動根目錄更新,請依照下列步驟執行:
針對執行 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 且使用未信任憑證自動更新程式的系統 (也就是如果已安裝 KB 2677070 或 KB 2813430 的系統),請參閱本節其餘部分和「Microsoft 知識庫」文章-
在本機群組原則編輯器中建立群組原則或變更現有群組原則。
-
在本機群組原則編輯器中,按兩下 [電腦設定] 節點下的 [原則]。
-
按兩下 [Windows 設定],按兩下 [安全性設定],然後按兩下 [公開金鑰原則]。
-
在詳細資料窗格中,按兩下 [憑證路徑驗證設定]。
-
按一下 [網路抓取] 索引標籤,選取 [定義這些原則設定值],然後清除 [自動更新 Microsoft 根憑證計劃中的憑證 (建議)] 核取方塊。
-
按一下 [確定],然後關閉本機群組原則編輯器。
進行此變更之後,那些套用原則的系統就會停用自動根目錄更新。建議您,只針對沒有網際網路存取的系統,或者可透過防火牆規則防止存取 Windows Update 的系統套用原則。
如果自動根目錄更新已停用,系統管理員必須手動管理 Windows 所信任的根憑證。透過使用群組原則,您可以將受信任的根憑證散發到執行 Windows 的電腦。如需有關如何管理 Windows 所信任之根憑證的詳細資訊,請造訪下列 Microsoft 網站:http://technet.microsoft.com/zh-tw/library/cc754841.aspx如需有關 Windows 憑證信任驗證的詳細資訊,請前往下列 Microsoft 網頁:
憑證信任驗證 (英文) 憑證信任清單概觀 (英文)如需有關 Windows 根憑證計劃的詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
931125Windows 根憑證計劃成員 (機器翻譯)
更新取代資訊
這個更新會取代下列更新:
2603469 Windows Server 2008 或 Windows Server 2008 R2 中的系統狀態備份不包含 CA 私密金鑰 (機器翻譯)
下載資訊
您可以從「Microsoft 下載中心」下載下列檔案。
適用於所有支援的 Windows Vista x86 版本
適用於所有支援的 Windows Vista x64 版本
適用於所有支援的 Windows Server 2008 x86 版本
適用於所有支援的 Windows Server 2008 x64 版本
適用於所有支援的 Windows Server 2008 IA-64 版本
適用於所有支援的 Windows 7 x86 版本
適用於所有支援的 Windows 7 x64 版本
適用於所有支援的 Windows Server 2008 R2 x64 版本
適用於所有支援的 Windows Server 2008 R2 IA-64 版本
立即下載 Windows6.1-KB2677070-ia64.msu 套件 發行日期:2012 年 6 月 12 日 如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案Microsoft 已對此檔案進行病毒掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案。檔案會儲存在安全性強化伺服器上,以避免任何未經授權的更改。
檔案資訊
如需此更新中提供的檔案清單,請下載此更新 2677070 的檔案資訊。