安全公告
Microsoft 安全咨询2868725
禁用 RC4 的更新
发布时间: 2013 年 11 月 12 日
版本: 1.0
常规信息
执行摘要
Microsoft 宣布推出 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 的更新,以解决 RC4 中的已知弱点。 此更新支持通过注册表设置删除 RC4 作为受影响系统上的可用密码。 它还允许开发人员通过使用SCHANNEL_CRED结构中的SCH_U标准版_STRONG_CRYPTO标志在单个应用程序中删除 RC4。 默认情况下不启用这些选项。
建议。 Microsoft 建议客户立即下载并安装更新,然后在其环境中测试新设置。 有关详细信息,请参阅 此公告的“建议的操作 ”部分。
咨询详细信息
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| Microsoft 知识库文章 | 2868725 |
受影响的软件
此公告讨论以下软件。
| 操作系统 |
|---|
| Windows 7 for 32 位系统 Service Pack 1 |
| 基于 x64 的系统 Service Pack 1 的 Windows 7 |
| 基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 |
| 适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 |
| 适用于 32 位系统的 Windows 8 |
| 基于 x64 的系统 Windows 8 |
| Windows Server 2012 |
| Windows RT |
| 服务器核心安装选项 |
| 基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (服务器核心安装) |
| Windows Server 2012 (服务器核心安装) |
咨询常见问题解答
此更新是否适用于 Windows 8.1、Windows Server 2012 R2 或 Windows RT 8.1?
否。 此更新不适用于 Windows 8.1、Windows Server 2012 R2 或 Windows RT 8.1,因为这些操作系统已包含限制 RC4 使用的功能。
公告的范围是什么?
此公告的目的是通知客户,更新可用于受支持的 Windows 7 版本、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT,这些版本提供了用于限制 RC4 使用的其他选项。 在 TLS 和 SSL 中使用 RC4 可以使攻击者执行中间人攻击并从加密会话中恢复纯文本。
什么是中间人攻击?
当攻击者通过攻击者的计算机重新路由两个用户之间的通信时,将发生中间人攻击,而不知道这两个通信用户。 通信中的每个用户不知情地向攻击者发送流量并接收流量,同时认为他们只与预期用户通信。
2868725 更新的作用是什么?
此更新支持通过注册表设置删除 RC4 作为受影响系统上的可用密码。 它还允许开发人员通过使用SCHANNEL_CRED结构中的SCH_U标准版_STRONG_CRYPTO标志在单个应用程序中删除 RC4。 默认情况下不启用这些选项。 Microsoft 建议客户在环境中实施 RC4 之前测试任何用于禁用 RC4 的新设置。
更新是否会影响 Internet Explorer 或其他内置应用程序的用户体验?
否。 使用更新实现的更改对用户是透明的,不会影响 Internet Explorer 或其他内置应用程序的用户体验。 但是,对禁用 RC4 的设置的后续更改可能会影响 Internet Explorer 或其他使用 TLS 的应用程序的用户体验。 因此,强烈建议客户全面测试与禁用 RC4 相关的任何新设置。
如何实现准备此版本?
请参阅此公告的“ 建议的操作 ”部分,了解要执行的操作列表,以准备部署此更新。
什么是 Schannel?
安全通道(也称为 Schannel)是一种 安全支持提供程序 (SSP),包含一组安全协议,这些协议通过加密提供标识身份验证和安全专用通信。 Schannel 主要用于需要安全超文本传输协议(HTTP)通信的 Internet 应用程序。 有关详细信息,请参阅 安全通道。
什么是 TLS?
传输层安全性(TLS)是一种标准协议,用于在 Internet 或 Intranet 上提供安全的 Web 通信。 它使客户端能够对服务器进行身份验证,或者(可选)服务器对客户端进行身份验证。 它还通过加密通信提供安全通道。 TLS 是安全套接字层 (SSL) 协议的最新版本。
什么是 RC4?
RC4 是用于加密和解密的流密码。
建议的操作
为受影响的 Microsoft Windows 版本应用更新
大多数客户已启用自动更新,无需采取任何操作,因为将自动下载并安装2868725更新。 未启用自动更新的客户需要检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871。
对于管理员和企业安装,或者想要手动安装2868725更新的最终用户,Microsoft 建议客户使用更新管理软件立即应用更新,或者检查 Microsoft 更新服务进行更新。 有关如何手动应用更新的详细信息,请参阅 Microsoft 知识库文章2868725。
在环境中实现新设置之前对其进行全面测试
应用更新后,Microsoft 建议客户在环境中实施 RC4 之前测试任何用于禁用 RC4 的新设置。 未能测试新设置可能会导致 Internet Explorer 或其他使用 TLS 的应用程序的用户体验受到影响。
其他信息
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关详细信息,请参阅国际性支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2013 年 11 月 12 日):已发布公告。
生成于 2014-04-18T13:49:36Z-07:00