Советы по безопасности Майкрософт 3033929
Доступность поддержки подписывания кода SHA-2 для Windows 7 и Windows Server 2008 R2
Опубликовано: 10 марта 2015 г.
Версия: 1.0
Общие сведения
Краткий обзор
Корпорация Майкрософт объявляет о повторном выпуске обновления для всех поддерживаемых выпусков Windows 7 и Windows Server 2008 R2, чтобы добавить поддержку функций подписывания и проверки SHA-2. Это обновление заменяет обновление 2949927, которое было отменено 17 октября 2014 г. для решения проблем, которые некоторые клиенты столкнулись после установки. Как и в исходном выпуске, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT и Windows RT 8.1 не требуют этого обновления, так как функции подписывания и проверки SHA-2 уже включены в эти операционные системы. Это обновление недоступно для Windows Server 2003, Windows Vista или Windows Server 2008.
Рекомендация. Клиенты, которые включили автоматическое обновление и настроили проверка в Сети для обновлений из Центра обновления Майкрософт, обычно не потребуется предпринять никаких действий, так как это обновление безопасности будет загружено и установлено автоматически. Клиенты, которые не включили автоматическое обновление, должны проверка для обновлений и установить это обновление вручную. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871.
Для клиентов, устанавливающих обновления вручную (включая клиентов, которые не включили автоматическое обновление), корпорация Майкрософт рекомендует применять обновление при первой возможности с помощью программного обеспечения управления обновлениями или проверка для обновлений с помощью службы обновления Майкрософт. Обновления также доступны по ссылкам скачивания в таблице "Затронутого программного обеспечения " в этой рекомендации.
Сведения о рекомендациях
Ссылки на проблемы
Дополнительные сведения об этой проблеме см. в следующих ссылках:
| Ссылки | Идентификация |
|---|---|
| Статья базы знаний Майкрософт | 3033929 (заменяет 2949927) |
Затронутого программного обеспечения
В этом руководстве рассматривается следующее программное обеспечение.
| Операционная система | **Обновления заменен ** |
|---|---|
| Windows 7 для 32-разрядных систем с пакетом обновления 1\ (3033929)(1) | 3035131 в MS15-025 |
| Windows 7 для систем на основе x64 с пакетом обновления 1\ (3033929)(1) | 3035131 в MS15-025 |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1\ (3033929)(1) | 3035131 в MS15-025 |
| Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1\ (3033929)(1) | 3035131 в MS15-025 |
| Вариант установки основных серверных компонентов | 3035131 в MS15-025 |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) \ (3033929)(1) | 3035131 в MS15-025 |
[1]Обновление 3033929 повлияло на двоичные файлы, как правило, при одновременном выпуске обновления 3035131 через MS15-025. Клиенты, которые загружают и устанавливают обновления вручную и которые планируют установить оба обновления, должны установить обновление 3035131 перед установкой обновления 3033929. Дополнительные сведения см. в разделе "Вопросы и ответы о рекомендациях".
Вопросы и ответы о рекомендациях
Что такое область рекомендаций?
Эта рекомендация предназначена для информирования клиентов об обновлении, которое добавляет функции для хэширования SHA-2 во все поддерживаемые выпуски Windows 7 и Windows Server 2008 R2.
**Это уязвимость безопасности, требующая от Майкрософт выдачи обновления безопасности? **
№ Механизм подписывания, альтернативный SHA-1, был доступен в течение некоторого времени, и использование SHA-1 в качестве хэширования алгоритма для подписывания было не рекомендуется и больше не рекомендуется. Корпорация Майкрософт рекомендует использовать алгоритм хэширования SHA-2 и освобождает это обновление, чтобы пользователи могли перенести цифровые ключи сертификатов в более безопасный алгоритм хэширования SHA-2.
**Какова причина проблемы с алгоритмом хэширования SHA-1?
**Первопричиной проблемы является известная слабость алгоритма хэширования SHA-1, который предоставляет его для атак столкновений. Такие атаки могут позволить злоумышленнику создавать дополнительные сертификаты, имеющие ту же цифровую подпись, что и исходный. Эти проблемы хорошо понятны и использование сертификатов SHA-1 в конкретных целях, требующих сопротивления этим атакам, было не рекомендуется. В Корпорации Майкрософт жизненный цикл разработки безопасности требует от Корпорации Майкрософт больше не использовать алгоритм хэширования SHA-1 в качестве функциональности по умолчанию в программном обеспечении Майкрософт. Дополнительные сведения см. в статье "Советы по безопасности Майкрософт" 2880823 и запись блога windows PKI, политика отмены sha1.
Что делает обновление?
В этом обновлении добавлена поддержка подписывания хэширования и проверки алгоритма SHA-2 в затронутых операционных системах, включая следующее:
- Поддержка нескольких подписей в файлах кабинета
- Поддержка нескольких подписей для файлов WINDOWS PE
- Изменения пользовательского интерфейса, позволяющие просматривать несколько цифровых подписей
- Возможность проверить RFC3161 метки времени в компонент целостности кода, который проверяет подписи в ядре
- Поддержка различных API, включая CertIsStrongHashToSign, CryptCAT Администратор AcquireContext2 и CryptCAT Администратор CalcHashFromFileHandle2
Что такое безопасный хэш-алгоритм (SHA-1)?
Алгоритм безопасного хэша (SHA) был разработан для использования с алгоритмом цифровой подписи (DSA) или цифровой подписи (DSS) и создает 160-разрядное хэш-значение. SHA-1 имеет известные слабые места, которые подвергают его столкновениям атак. Такие атаки могут позволить злоумышленнику создавать дополнительные сертификаты, имеющие ту же цифровую подпись, что и исходный. Дополнительные сведения о SHA-1 см. в разделе "Хэш- и сигнатурные алгоритмы".
Что такое RFC3161?
RFC3161 определяет протокол TSP инфраструктуры открытых ключей Интернета X.509 с меткой времени (TSP), описывающий формат запросов и ответов на центр метки времени (TSA). TSA можно использовать для подтверждения того, что цифровая подпись была создана в течение срока действия сертификата открытого ключа, см. инфраструктуру открытого ключа X.509.
Что такое цифровой сертификат?
В криптографии открытого ключа один из ключей, известный как закрытый ключ, должен храниться в секрете. Другой ключ, известный как открытый ключ, предназначен для совместного использования с миром. Тем не менее, должен быть способ для владельца ключа, чтобы сказать миру, кому принадлежит ключ. Цифровые сертификаты предоставляют способ сделать это. Цифровой сертификат — это электронные учетные данные, используемые для сертификации сетевых удостоверений отдельных лиц, организаций и компьютеров. Цифровые сертификаты содержат открытый ключ, упакованный вместе с информацией об этом (кто владеет им, что он может использоваться, когда истекает срок действия и т. д.). Дополнительные сведения см. в разделе "Общие сведения о шифровании открытого ключа" и цифровых сертификатах.
Какова цель цифрового сертификата?
Цифровые сертификаты используются в основном для проверки удостоверения человека или устройства, проверки подлинности службы или шифрования файлов. Как правило, нет необходимости думать о сертификатах вообще, помимо случайного сообщения о том, что срок действия сертификата истек или недопустим. В таких случаях следует следовать инструкциям, указанным в сообщении.
Как это обновление (3033929) связано с обновлением 3035131, рассмотренным в MS15-025?
Это обновление (3033929) разделяет затронутые двоичные файлы с обновлением 3035131, выпущенном одновременно через MS15-025. Это перекрывает необходимость замены одного обновления другим и, в данном случае, консультативного обновления 3033929 заменяет обновление 3035131. Клиенты с включенным автоматическим обновлением не должны испытывать необычного поведения установки; оба обновления должны устанавливаться автоматически, и оба должны отображаться в списке установленных обновлений. Однако для клиентов, которые загружают и устанавливают обновления вручную, порядок установки обновлений определяет наблюдаемое поведение следующим образом:
Сценарий 1 (предпочтительный): клиент сначала устанавливает обновление 3035131, а затем устанавливает консультативные обновления 3033929.
Результат. Оба обновления должны устанавливаться обычно, и оба обновления должны отображаться в списке установленных обновлений.
Сценарий 2. Сначала клиент устанавливает консультативные обновления 3033929, а затем пытается установить обновление 3035131.
Результат: установщик уведомляет пользователя о том, что обновление 3035131 уже установлено в системе; и обновление 3035131 не добавляется в список установленных обновлений.
Предлагаемые действия
Применение обновления для поддерживаемых выпусков Microsoft Windows
Большинство клиентов включили автоматическое обновление и не потребует никаких действий, так как обновление будет загружено и установлено автоматически. Клиенты, которые не включили автоматическое обновление, должны проверка для обновлений и установить это обновление вручную. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871.
Для администраторов и корпоративных установок или конечных пользователей, которые хотят установить это обновление вручную (включая клиентов, которые не включили автоматическое обновление), корпорация Майкрософт рекомендует пользователям применять обновление при первой возможности с помощью программного обеспечения управления обновлениями или проверка для обновлений с помощью службы центра обновления Майкрософт. Обновления также доступны по ссылкам скачивания в таблице "Затронутого программного обеспечения " в этой рекомендации.
Дополнительные предлагаемые действия
Защита компьютера
Мы продолжаем поощрять клиентов следовать нашим рекомендациям по защите компьютера для включения брандмауэра, получения обновлений программного обеспечения и установки антивирусного программного обеспечения. Дополнительные сведения см. в центре безопасности Майкрософт Сейф ty и безопасности.
Обновление программного обеспечения Майкрософт
Пользователи, работающие под управлением программного обеспечения Майкрософт, должны применять последние обновления системы безопасности Майкрософт, чтобы убедиться, что их компьютеры защищены как можно скорее. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите Центр обновления Майкрософт, проверьте компьютер на наличие доступных обновлений и установите все обновления с высоким приоритетом, предлагаемые вам. Если вы включили автоматическое обновление и настроили для предоставления обновлений для продуктов Майкрософт, обновления доставляются вам при их выпуске, но убедитесь, что они установлены.
Другие сведения
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программах Microsoft Active Protections Program (MAPP).
Feedback
- Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.
Поддержка
- Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения см. в справке и поддержке Майкрософт.
- Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения см. в статье "Международная поддержка".
- Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.
Заявление об отказе
Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- Версия 1.0 (10 марта 2015 г.): рекомендации опубликованы.
Страница создана 2015-03-04 14:52Z-08:00.