Conseils de sécurité Microsoft 2977292
Mise à jour pour l’implémentation Microsoft EAP qui permet l’utilisation de TLS
Publication : 14 octobre 2014
Version : 1.0
Informations générales
Résumé
Microsoft annonce la disponibilité d’une mise à jour pour les éditions prises en charge de Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012 et Windows RT pour l’implémentation du protocole EAP (Microsoft Extensible Authentication Protocol) qui permet l’utilisation de TLS (Transport Layer Security) 1.1 ou 1.2 via la modification du registre système. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 2977292.
Recommandation. Microsoft recommande aux clients de tester les nouveaux paramètres pour activer TLS 1.1 ou 1.2 avant l’implémentation dans leurs environnements. Pour plus d’informations, consultez la section Actions suggérées de cet avis.
Détails de l’avis
Références de problème
Pour plus d’informations sur ce problème, consultez les références suivantes :
Informations de référence | Identification |
---|---|
Article de la Base de connaissances Microsoft | 2977292 |
Logiciel affecté
Cet avis traite du logiciel suivant.
Logiciel affecté
Système d’exploitation |
---|
Windows 7 pour systèmes 32 bits Service Pack 1 |
Windows 7 pour systèmes x64 Service Pack 1 |
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 |
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 |
Windows 8 pour les systèmes 32 bits |
Windows 8 pour systèmes x64 |
Windows 8.1 pour les systèmes 32 bits |
Windows 8.1 pour les systèmes x64 |
Windows Server 2012 |
Windows Server 2012 R2 |
Windows RT |
Windows RT 8.1 |
Option d’installation server Core |
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) |
Windows Server 2012 (installation minimale) |
Windows Server 2012 R2 (installation minimale) |
Faq sur les conseils
Quelle est la portée de l’avis ?
L’objectif de cet avis est d’informer les clients qu’une mise à jour est disponible pour l’implémentation du protocole EAP (Microsoft Extensible Authentication Protocol) qui permet l’utilisation du protocole TLS (Transport Layer Security) 1.1 ou 1.2.
Qu’est-ce que EAP ?
Le protocole EAP (Extensible Authentication Protocol) est une infrastructure d’authentification incluse dans les systèmes d’exploitation windows client et Windows Server. EAP dans Windows inclut de nombreux protocoles d’authentification pour l’authentification par accès réseau lorsque vous déployez un réseau privé virtuel (VPN), 802.1X sans fil et 802.1X technologies câblées à l’aide du serveur de stratégie réseau (NPS), du routage et du service d’accès à distance (RRAS) ou les deux.
Qu’est-ce que TLS ?
Tls (Transport Layer Security) est un protocole standard utilisé pour fournir des communications web sécurisées sur Internet ou intranets. Il permet aux clients d’authentifier des serveurs ou, éventuellement, des serveurs pour authentifier les clients. Il fournit également un canal sécurisé en chiffrant les communications. TLS est la dernière version du protocole SSL (Secure Sockets Layer).
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
L’utilisation de versions antérieures de TLS peut permettre à un attaquant d’effectuer des attaques man-in-the-middle et de récupérer du texte en clair à partir de sessions chiffrées.
Qu’est-ce qu’une attaque man-in-the-middle ?
Une attaque man-in-the-middle se produit lorsqu’un attaquant redirige la communication entre deux utilisateurs par le biais du système de l’attaquant sans connaître les deux utilisateurs qui communiquent. Chaque utilisateur de la communication envoie du trafic vers et reçoit le trafic de l’attaquant, tout en pensant qu’il communique uniquement avec l’utilisateur prévu.
Que fait la mise à jour ?
La mise à jour permet la prise en charge de TLS 1.1 et 1.2 en tant que protocole disponible sur les systèmes affectés via les paramètres de Registre. Microsoft recommande aux clients de tester les nouveaux paramètres pour activer TLS 1.1 ou 1.2 avant l’implémentation dans leurs environnements.
Actions suggérées
Appliquer la mise à jour pour les versions prises en charge de Microsoft Windows
La majorité des clients ont activé la mise à jour automatique et n’ont pas besoin d’effectuer d’action, car la mise à jour 2977292 sera téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article de la Base de connaissances Microsoft 294871.
Pour les administrateurs et les installations d’entreprise, ou pour les utilisateurs finaux qui souhaitent installer la mise à jour 2977292 manuellement, Microsoft recommande aux clients d’appliquer la mise à jour à l’aide du logiciel de gestion des mises à jour ou en case activée pour les mises à jour à l’aide du service Microsoft Update. Pour plus d’informations sur l’application manuelle de la mise à jour, consultez l’article de la Base de connaissances Microsoft 2616676.
Actions suggérées supplémentaires
Protéger votre PC
Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Pour plus d’informations, consultez Microsoft Coffre ty &Security Center.
Conserver les logiciels Microsoft mis à jour
Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées.
Remerciements
Microsoft remercie ce qui suit pour nous aider à protéger les clients :
- Nick Lowe de Lugatech pour travailler avec nous pour fournir cette mise à jour de sécurité
Autres informations
Programme Microsoft Active Protections (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.
Commentaires
- Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.
Support
- Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
- Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (14 octobre 2014) : avis publié.
Page générée 2014-10-09 15 :03Z-07 :00.