安全性諮詢
Microsoft Security Advisory 2868725
停用 RC4 的更新
發佈時間: 2013 年 11 月 12 日
版本: 1.0
一般資訊
執行摘要
Microsoft 宣佈推出 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 版本更新,以解決 RC4 中的已知弱點。 此更新支援透過登錄設定,將 RC4 移除為受影響系統上的可用加密。 它也允許開發人員透過在SCHANNEL_CRED結構中使用 SCH_USE_STRONG_CRYPTO 旗標,在個別應用程式中移除 RC4。 預設不會啟用這些選項。
建議。 Microsoft 建議客戶立即下載並安裝更新,然後在其環境中測試新的設定。 如需詳細資訊,請參閱 此諮詢的建議動作 一節。
諮詢詳細數據
問題參考
如需此問題的詳細資訊,請參閱下列參考:
| 參考資料 | 識別 |
|---|---|
| Microsoft 知識庫文章 | 2868725 |
受影響的軟體
此諮詢會討論下列軟體。
| 作業系統 |
|---|
| Windows 7 for 32 位系統 Service Pack 1 |
| Windows 7 for x64 型系統 Service Pack 1 |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 |
| Windows Server 2008 R2 for Itanium 型系統 Service Pack 1 |
| Windows 8 for 32 位系統 |
| 適用於 x64 型系統的 Windows 8 |
| Windows Server 2012 |
| Windows RT |
| Server Core 安裝選項 |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) |
| Windows Server 2012 (Server Core 安裝) |
諮詢常見問題
此更新是否適用於 Windows 8.1、Windows Server 2012 R2 或 Windows RT 8.1?
否。 此更新不適用於 Windows 8.1、Windows Server 2012 R2 或 Windows RT 8.1,因為這些操作系統已經包含限制 RC4 使用的功能。
諮詢的範圍為何?
此諮詢的目的是通知客戶,Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 有提供限制 RC4 使用的其他選項的更新。 在 TLS 和 SSL 中使用 RC4 可讓攻擊者執行中間人攻擊,並從加密會話復原純文字。
什麼是中間人攻擊?
當攻擊者透過攻擊者的計算機重新路由傳送兩位使用者之間的通訊,而不知道這兩個通訊使用者時,就會發生中間人攻擊。 通訊中的每個用戶都會不知情地將流量傳送到攻擊者,並接收來自攻擊者的流量,同時認為它們只會與預定的用戶通訊。
2868725 更新有何用途?
此更新支援透過登錄設定,將 RC4 移除為受影響系統上的可用加密。 它也允許開發人員透過在SCHANNEL_CRED結構中使用 SCH_USE_STRONG_CRYPTO 旗標,在個別應用程式中移除 RC4。 預設不會啟用這些選項。 Microsoft 建議客戶在環境中實作 RC4 之前,先測試任何新設定以停用 RC4。
更新會影響 Internet Explorer 或其他內建應用程式的用戶體驗嗎?
否。 使用更新實作的變更對使用者而言是透明的,不會影響 Internet Explorer 或其他內建應用程式的用戶體驗。 不過,後續停用 RC4 的設定變更可能會影響 Internet Explorer 或其他使用 TLS 的應用程式用戶體驗。 基於這個理由,強烈建議客戶徹底測試任何與 RC4 停用相關的新設定。
如何? 準備此版本嗎?
請參閱 此諮詢的<建議的動作 >一節,以取得要執行以準備部署此更新的動作清單。
什麼是安全通道?
安全通道也稱為 「安全通道」是一種 安全性支援提供者 (SSP),其中包含一組安全性通訊協定,可透過加密提供身分識別驗證和保護私人通訊。 安全通道主要用於需要安全超文本傳輸通訊協定(HTTP) 通訊的因特網應用程式。 如需詳細資訊,請參閱 安全通道。
什麼是 TLS?
傳輸層安全性 (TLS) 是標準通訊協定,用來在因特網或內部網路上提供安全的 Web 通訊。 它可讓客戶端驗證伺服器,或選擇性地驗證用戶端。 它也透過加密通訊來提供安全通道。 TLS 是安全套接字層 (SSL) 通訊協定的最新版本。
什麼是 RC4?
RC4 是用於加密和解密的數據流加密。
建議的動作
針對受影響的 Microsoft Windows 版本套用更新
大部分的客戶都已啟用自動更新,而且不需要採取任何動作,因為會自動下載並安裝2868725更新。 未啟用自動更新的客戶需要檢查更新,並手動安裝此更新。 如需自動更新中特定組態選項的相關信息,請參閱 Microsoft 知識庫文章294871。
對於系統管理員和企業安裝,或想要手動安裝2868725更新的使用者,Microsoft 建議客戶使用更新管理軟體立即套用更新,或使用 Microsoft Update 服務檢查更新。 如需如何手動套用更新的詳細資訊,請參閱 Microsoft 知識庫文章2868725。
在環境中實作新設定之前,請先徹底測試新設定
套用更新之後,Microsoft 建議客戶在環境中實作 RC4 之前,先測試任何新的設定來停用 RC4。 無法測試新設定可能會導致 Internet Explorer 或其他使用 TLS 的應用程式用戶體驗受到影響。
其他資訊
Feedback
- 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡,以提供意見反應。
支援
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需詳細資訊,請參閱國際支援。
- Microsoft TechNet 安全性 提供 Microsoft 產品中安全性的其他資訊。
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2013 年 11 月 12 日):已發佈諮詢。
建置於 2014-04-18T13:49:36Z-07:00