Avviso di sicurezza
Microsoft Security Advisory 2868725
Aggiornamento per la disabilitazione di RC4
Pubblicato: 12 novembre 2013
Versione: 1.0
Informazioni generali
Schema riepilogativo
Microsoft annuncia la disponibilità di un aggiornamento per le edizioni supportate di Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT per risolvere i punti deboli noti in RC4. L'aggiornamento supporta la rimozione di RC4 come crittografia disponibile nei sistemi interessati tramite le impostazioni del Registro di sistema. Consente inoltre agli sviluppatori di rimuovere RC4 in singole applicazioni tramite l'uso del flag SCH_U edizione Standard_STRONG_CRYPTO nella struttura SCHANNEL_CRED. Queste opzioni non sono abilitate per impostazione predefinita.
Elemento consigliato. Microsoft consiglia ai clienti di scaricare e installare l'aggiornamento immediatamente e quindi testare le nuove impostazioni nei propri ambienti. Per altre informazioni, vedere la sezione Azioni suggerite di questo avviso.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 2868725 |
Software interessato
Questo avviso illustra il software seguente.
| Sistema operativo |
|---|
| Windows 7 per sistemi a 32 bit Service Pack 1 |
| Windows 7 per sistemi basati su x64 Service Pack 1 |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 |
| Windows 8 per sistemi a 32 bit |
| Windows 8 per sistemi basati su x64 |
| Windows Server 2012 |
| Windows RT |
| Opzione di installazione dei componenti di base del server |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server core) |
| Windows Server 2012 (installazione server core) |
Domande frequenti sugli avvisi
Questo aggiornamento si applica a Windows 8.1, Windows Server 2012 R2 o Windows RT 8.1?
No. Questo aggiornamento non si applica a Windows 8.1, Windows Server 2012 R2 o Windows RT 8.1 perché questi sistemi operativi includono già la funzionalità per limitare l'uso di RC4.
Qual è l'ambito dell'avviso?
Lo scopo di questo avviso è informare i clienti che un aggiornamento è disponibile per le edizioni supportate di Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT che offre opzioni aggiuntive per limitare l'uso di RC4. L'uso di RC4 in TLS e SSL potrebbe consentire a un utente malintenzionato di eseguire attacchi man-in-the-middle e recuperare testo non crittografato da sessioni crittografate.
Che cos'è un attacco man-in-the-middle?
Un attacco man-in-the-middle si verifica quando un utente malintenzionato reindirizza la comunicazione tra due utenti attraverso il computer dell'utente malintenzionato senza conoscere i due utenti che comunicano. Ogni utente nella comunicazione invia inconsapevolmente il traffico a e riceve il traffico dall'utente malintenzionato, tutto il mentre pensa di comunicare solo con l'utente previsto.
Che cosa fa l'aggiornamento2868725?
L'aggiornamento supporta la rimozione di RC4 come crittografia disponibile nei sistemi interessati tramite le impostazioni del Registro di sistema. Consente inoltre agli sviluppatori di rimuovere RC4 in singole applicazioni tramite l'uso del flag SCH_U edizione Standard_STRONG_CRYPTO nella struttura SCHANNEL_CRED. Queste opzioni non sono abilitate per impostazione predefinita. Microsoft consiglia ai clienti di testare le nuove impostazioni per disabilitare RC4 prima di implementarle negli ambienti.
L'aggiornamento influisce sull'esperienza utente per Internet Explorer o altre applicazioni incluse?
No. Le modifiche implementate con l'aggiornamento sono trasparenti per l'utente e non influiscono sull'esperienza utente per Internet Explorer o altre applicazioni incluse. Tuttavia, è possibile che le modifiche successive alle impostazioni per la disabilitazione di RC4 possano influire sull'esperienza utente per Internet Explorer o altre applicazioni che usano TLS. Per questo motivo, è consigliabile che i clienti testino accuratamente tutte le nuove impostazioni relative alla disabilitazione di RC4.
Ricerca per categorie prepararsi per questa versione?
Per un elenco di azioni da eseguire in preparazione alla distribuzione di questo aggiornamento, vedere la sezione Azioni suggerite di questo avviso.
Che cos'è Schannel?
Secure Channel, noto anche come Schannel, è un provider di supporto per la sicurezza (SSP) che contiene un set di protocolli di sicurezza che forniscono l'autenticazione delle identità e la comunicazione privata sicura tramite crittografia. Schannel viene usato principalmente per le applicazioni Internet che richiedono comunicazioni HTTP (Hypertext Transfer Protocol) sicure. Per altre informazioni, vedere Canale protetto.
Che cos'è TLS?
Transport Layer Security (TLS) è un protocollo standard usato per fornire comunicazioni Web sicure su Internet o intranet. Consente ai client di autenticare i server o, facoltativamente, i server per autenticare i client. Fornisce anche un canale sicuro crittografando le comunicazioni. TLS è la versione più recente del protocollo SSL (Secure Sockets Layer).
Che cos'è RC4?
RC4 è una crittografia di flusso usata sia nella crittografia che nella decrittografia.
Azioni suggerite
Applicare l'aggiornamento per le versioni interessate di Microsoft Windows
La maggior parte dei clienti ha abilitato l'aggiornamento automatico e non dovrà eseguire alcuna azione perché l'aggiornamento 2868725 verrà scaricato e installato automaticamente. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871.
Per gli amministratori e le installazioni aziendali o per gli utenti finali che vogliono installare manualmente l'aggiornamento 2868725, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento usando il software di gestione degli aggiornamenti oppure controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . Per altre informazioni su come applicare manualmente l'aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2868725.
Testare accuratamente le nuove impostazioni prima di implementarle nell'ambiente
Dopo aver applicato l'aggiornamento, Microsoft consiglia ai clienti di testare le nuove impostazioni per disabilitare RC4 prima di implementarli nei propri ambienti. Se non si testano le nuove impostazioni, l'esperienza utente potrebbe influire sull'esperienza utente per Internet Explorer o altre applicazioni che usano TLS.
Altre informazioni
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni, vedere Supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (12 novembre 2013): Avviso pubblicato.
Costruito al 2014-04-18T13:49:36Z-07:00