Microsoft Security Advisory 2977292
Aggiornamento per l'implementazione di Microsoft EAP che consente l'uso di TLS
Pubblicato: 14 ottobre 2014
Versione: 1.0
Informazioni generali
Schema riepilogativo
Microsoft annuncia la disponibilità di un aggiornamento per le edizioni supportate di Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012 e Windows RT per l'implementazione di Microsoft Extensible Authentication Protocol (EAP) che consente l'uso di Transport Layer Security (TLS) 1.1 o 1.2 tramite la modifica del Registro di sistema. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 2977292.
Consiglio. Microsoft consiglia ai clienti di testare le nuove impostazioni per abilitare TLS 1.1 o 1.2 prima dell'implementazione nei propri ambienti. Per altre informazioni, vedere la sezione Azioni suggerite di questo avviso.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 2977292 |
Software interessato
Questo avviso illustra il software seguente.
Software interessato
| Sistema operativo |
|---|
| Windows 7 per sistemi a 32 bit Service Pack 1 |
| Windows 7 per sistemi basati su x64 Service Pack 1 |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 |
| Windows 8 per sistemi a 32 bit |
| Windows 8 per sistemi basati su x64 |
| Windows 8.1 per sistemi a 32 bit |
| Windows 8.1 per sistemi basati su x64 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Windows RT |
| Windows RT 8.1 |
| Opzione di installazione dei componenti di base del server |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server core) |
| Windows Server 2012 (installazione server core) |
| Windows Server 2012 R2 (installazione di Server Core) |
Domande frequenti sugli avvisi
Qual è l'ambito dell'avviso?
Lo scopo di questo avviso è informare i clienti che un aggiornamento è disponibile per l'implementazione di Microsoft Extensible Authentication Protocol (EAP) che consente l'uso di Transport Layer Security (TLS) 1.1 o 1.2.
Che cos'è EAP?
Extensible Authentication Protocol (EAP) è un framework di autenticazione incluso nei sistemi operativi Windows client e Windows Server. EAP in Windows include molti protocolli di autenticazione per l'autenticazione di accesso alla rete quando si distribuiscono connessioni remote, rete privata virtuale (VPN), 802.1X wireless e 802.1X tecnologie cablate tramite Server dei criteri di rete (NPS), routing e servizio di accesso remoto (RRAS) o entrambi.
Che cos'è TLS?
Transport Layer Security (TLS) è un protocollo standard usato per fornire comunicazioni Web sicure su Internet o intranet. Consente ai client di autenticare i server o, facoltativamente, i server per autenticare i client. Fornisce anche un canale sicuro crittografando le comunicazioni. TLS è la versione più recente del protocollo SSL (Secure Sockets Layer).
Cosa può fare un utente malintenzionato che usa la vulnerabilità?
L'uso di versioni precedenti di TLS potrebbe consentire a un utente malintenzionato di eseguire attacchi man-in-the-middle e recuperare testo non crittografato da sessioni crittografate.
Che cos'è un attacco man-in-the-middle?
Un attacco man-in-the-middle si verifica quando un utente malintenzionato reindirizza la comunicazione tra due utenti attraverso il sistema dell'utente malintenzionato senza conoscere i due utenti che comunicano. Ogni utente nella comunicazione invia inconsapevolmente il traffico a e riceve il traffico dall'utente malintenzionato, tutto il mentre pensa di comunicare solo con l'utente previsto.
Cosa fa l'aggiornamento?
L'aggiornamento abilita il supporto di TLS 1.1 e 1.2 come protocollo disponibile nei sistemi interessati tramite le impostazioni del Registro di sistema. Microsoft consiglia ai clienti di testare le nuove impostazioni per abilitare TLS 1.1 o 1.2 prima dell'implementazione nei propri ambienti.
Azioni suggerite
Applicare l'aggiornamento per le versioni supportate di Microsoft Windows
La maggior parte dei clienti ha abilitato l'aggiornamento automatico e non dovrà eseguire alcuna azione perché l'aggiornamento 2977292 verrà scaricato e installato automaticamente. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871.
Per gli amministratori e le installazioni aziendali o per gli utenti finali che desiderano installare manualmente l'aggiornamento 2977292, Microsoft consiglia ai clienti di applicare l'aggiornamento usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . Per altre informazioni su come applicare manualmente l'aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2616676.
Azioni aggiuntive suggerite
Proteggere il PC
Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni, vedere Microsoft Cassaforte ty & Security Center.
Mantenere aggiornato il software Microsoft
Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.
Riconoscimenti
Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:
- Nick Lowe di Lugatech per collaborare con Microsoft per fornire questo aggiornamento della sicurezza
Altre informazioni
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni, vedere Supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (14 ottobre 2014): Avviso pubblicato.
Pagina generata 2014-10-09 15:03Z-07:00.