Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Beschikbaarheid van ondersteuning voor SHA-2-codeondertekening voor Windows 7 en Windows Server 2008 R2
Gepubliceerd: 10 maart 2015
Versie: 1.0
Algemene gegevens
Samenvatting
Microsoft kondigt de heruitgifte van een update aan voor alle ondersteunde edities van Windows 7 en Windows Server 2008 R2 om ondersteuning toe te voegen voor sha-2-ondertekenings- en verificatiefunctionaliteit. Deze update vervangt de 2949927 update die op 17 oktober 2014 is teruggetrokken om problemen op te lossen die sommige klanten hebben ervaren na de installatie. Net als bij de oorspronkelijke release hebben Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT en Windows RT 8.1 deze update niet nodig omdat sha-2-ondertekening en verificatiefunctionaliteit al is opgenomen in deze besturingssystemen. Deze update is niet beschikbaar voor Windows Server 2003, Windows Vista of Windows Server 2008.
Aanbeveling. Klanten die automatisch bijwerken hebben ingeschakeld en geconfigureerd om online te controleren op updates van Microsoft Update, hoeven doorgaans geen actie te ondernemen omdat deze beveiligingsupdate automatisch wordt gedownload en geïnstalleerd. Klanten die automatische updates niet hebben ingeschakeld, moeten controleren op updates en deze update handmatig installeren. Zie het Microsoft Knowledge Base-artikel 294871 voor meer informatie over specifieke configuratieopties bij het automatisch bijwerken.
Voor klanten die updates handmatig installeren (inclusief klanten die automatische updates niet hebben ingeschakeld), raadt Microsoft aan om de update zo snel mogelijk toe te passen met behulp van updatebeheersoftware of door te controleren op updates met behulp van de Microsoft Update-service . De updates zijn ook beschikbaar via de downloadkoppelingen in de tabel Affected Software in dit advies.
Adviesdetails
Probleemverwijzingen
Zie de volgende verwijzingen voor meer informatie over dit probleem:
| Naslaginformatie | Kenmerk |
|---|---|
| Microsoft Knowledge Base-artikel | 3033929 (vervangt 2949927) |
Betrokken software
In dit advies worden de volgende software besproken.
| Besturingssysteem | **Updates vervangen ** |
|---|---|
| Windows 7 voor 32-bits systemen Service Pack 1\ (3033929)(1) | 3035131 in MS15-025 |
| Windows 7 voor x64-systemen Service Pack 1\ (3033929)(1) | 3035131 in MS15-025 |
| Windows Server 2008 R2 voor x64-systemen Service Pack 1\ (3033929)(1) | 3035131 in MS15-025 |
| Windows Server 2008 R2 voor Op Itanium gebaseerde Systemen Service Pack 1\ (3033929)(1) | 3035131 in MS15-025 |
| Server Core-installatieoptie | 3035131 in MS15-025 |
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (Server Core-installatie) \ (3033929)(1) | 3035131 in MS15-025 |
[1]De 3033929 update heeft gemeen met de 3035131 update die gelijktijdig wordt uitgebracht via MS15-025. Klanten die updates handmatig downloaden en installeren en die van plan zijn om beide updates te installeren, moeten de 3035131-update installeren voordat ze de 3033929-update installeren. Zie de veelgestelde vragen over advies voor meer informatie.
Veelgestelde vragen over advies
Wat is het bereik van het advies?
Het doel van dit advies is om klanten te informeren over een update waarmee functionaliteit voor het SHA-2-hashingalgoritme wordt toegevoegd aan alle ondersteunde edities van Windows 7 en Windows Server 2008 R2.
**Is dit een beveiligingsprobleem waarvoor Microsoft een beveiligingsupdate moet uitgeven? **
Nee Er is al enige tijd een alternatief voor een ondertekeningsmechanisme voor SHA-1 beschikbaar en het gebruik van SHA-1 als hash-algoritme voor ondertekeningsdoeleinden is afgeraden en is niet langer een best practice. Microsoft raadt aan in plaats daarvan het HASH-algoritme SHA-2 te gebruiken en brengt deze update uit om klanten in staat te stellen digitale certificaatsleutels te migreren naar het veiligere SHA-2-hashingalgoritme.
**Wat is de oorzaak van het probleem met het SHA-1-hashingalgoritme?
**De hoofdoorzaak van het probleem is een bekende zwakte van het SHA-1 hashing-algoritme dat het blootstelt aan botsingsaanvallen. Met dergelijke aanvallen kan een aanvaller extra certificaten genereren die dezelfde digitale handtekening hebben als een origineel. Deze problemen zijn goed begrepen en het gebruik van SHA-1-certificaten voor specifieke doeleinden waarvoor weerstand tegen deze aanvallen is vereist, is afgeraden. Bij Microsoft heeft de beveiligingsontwikkelingslevenscyclus Microsoft vereist dat het SHA-1-hashingalgoritme niet langer wordt gebruikt als standaardfunctionaliteit in Microsoft-software. Zie Microsoft Security Advisory 2880823 en het Windows PKI-blogbericht SHA1-afschaffingsbeleid voor meer informatie.
Wat doet de update?
Met de update wordt ondersteuning voor ondertekening en verificatie van sha-2-hashing-algoritmen toegevoegd aan betrokken besturingssystemen, waaronder de volgende:
- Ondersteuning voor meerdere handtekeningen voor cabinetbestanden
- Ondersteuning voor meerdere handtekeningen voor Windows PE-bestanden
- Wijzigingen in de gebruikersinterface die het weergeven van meerdere digitale handtekeningen mogelijk maken
- De mogelijkheid om RFC3161 tijdstempels te controleren op het onderdeel Code-integriteit waarmee handtekeningen in de kernel worden geverifieerd
- Ondersteuning voor verschillende API's, waaronder CertIsStrongHashToSign, CryptCAT Beheer AcquireContext2 en CryptCAT Beheer CalcHashFromFileHandle2
Wat is Secure Hash Algorithm (SHA-1)?
Het Secure Hash Algorithm (SHA) is ontwikkeld voor gebruik met het Digital Signature Algorithm (DSA) of de Digital Signature Standard (DSS) en genereert een 160-bits hashwaarde. SHA-1 heeft bekende zwakke punten die het blootstellen aan botsingsaanvallen. Met dergelijke aanvallen kan een aanvaller extra certificaten genereren die dezelfde digitale handtekening hebben als een origineel. Zie Hash- en Handtekeningalgoritmen voor meer informatie over SHA-1.
Wat is RFC3161?
RFC3161 definieert internet X.509 TSP (Public Key Infrastructure Time-Stamp Protocol) waarin de indeling van aanvragen en reacties op een TSA (Time Stamping Authority) wordt beschreven. De TSA kan worden gebruikt om te bewijzen dat er een digitale handtekening is gegenereerd tijdens de geldigheidsperiode van een openbare-sleutelcertificaat, zie X.509 Public Key Infrastructure.
Wat is een digitaal certificaat?
In openbare-sleutelcryptografie moet een van de sleutels, ook wel de persoonlijke sleutel genoemd, geheim worden gehouden. De andere sleutel, ook wel de openbare sleutel genoemd, is bedoeld om te worden gedeeld met de wereld. Er moet echter een manier zijn om de eigenaar van de sleutel te vertellen aan de wereld waartoe de sleutel behoort. Digitale certificaten bieden een manier om dit te doen. Een digitaal certificaat is een elektronische referentie die wordt gebruikt om de online-identiteiten van personen, organisaties en computers te certificeren. Digitale certificaten bevatten een openbare sleutel die samen met informatie over de sleutel is verpakt (die eigenaar is van de sleutel, waarvoor deze kan worden gebruikt, wanneer deze verloopt, enzovoort). Zie Openbare sleutelcryptografie en digitale certificaten voor meer informatie.
Wat is het doel van een digitaal certificaat?
Digitale certificaten worden voornamelijk gebruikt om de identiteit van een persoon of apparaat te verifiëren, een service te verifiëren of bestanden te versleutelen. Normaal gesproken hoeft u helemaal niet na te denken over certificaten, afgezien van het incidentele bericht waarin wordt aangegeven dat een certificaat is verlopen of ongeldig is. In dergelijke gevallen moet u de instructies in het bericht volgen.
Hoe is deze update (3033929) gerelateerd aan de 3035131 update die wordt besproken in MS15-025?
Deze update (3033929) deelt binaire bestanden met de 3035131-update die tegelijkertijd wordt uitgebracht via MS15-025. Deze overlapping vereist dat de ene update de andere vervangt en in dit geval de adviesupdate 3033929 de update 3035131 vervangt. Klanten waarvoor automatisch bijwerken is ingeschakeld, mogen geen ongebruikelijk installatiegedrag ervaren; beide updates moeten automatisch worden geïnstalleerd en beide moeten worden weergegeven in de lijst met geïnstalleerde updates. Voor klanten die updates handmatig downloaden en installeren, wordt het waargenomen gedrag echter als volgt bepaald door de volgorde waarin de updates worden geïnstalleerd:
Scenario 1 (voorkeur): De klant installeert eerst update-3035131 en installeert vervolgens adviesupdates 3033929.
Resultaat: Beide updates moeten normaal worden geïnstalleerd en beide updates moeten worden weergegeven in de lijst met geïnstalleerde updates.
Scenario 2: Klant installeert eerst adviesupdates 3033929 en probeert vervolgens update-3035131 te installeren.
Resultaat: Het installatieprogramma meldt de gebruiker dat de 3035131 update al op het systeem is geïnstalleerd; en de 3035131-update wordt NIET toegevoegd aan de lijst met geïnstalleerde updates.
Voorgestelde acties
De update toepassen op ondersteunde versies van Microsoft Windows
Het merendeel van de klanten heeft automatische updates ingeschakeld en hoeft geen actie te ondernemen omdat de update automatisch wordt gedownload en geïnstalleerd. Klanten die automatische updates niet hebben ingeschakeld, moeten controleren op updates en deze update handmatig installeren. Zie het Microsoft Knowledge Base-artikel 294871 voor meer informatie over specifieke configuratieopties bij het automatisch bijwerken.
Voor beheerders en bedrijfsinstallaties of eindgebruikers die deze beveiligingsupdate handmatig willen installeren (inclusief klanten die automatische updates niet hebben ingeschakeld), raadt Microsoft aan dat klanten de update op de vroegste gelegenheid toepassen met behulp van updatebeheersoftware of door te controleren op updates met behulp van de Microsoft Update-service . De updates zijn ook beschikbaar via de downloadkoppelingen in de tabel Affected Software in dit advies.
Aanvullende voorgestelde acties
Uw pc beveiligen
We blijven klanten aanmoedigen om onze richtlijnen voor uw computer beveiligen te volgen voor het inschakelen van een firewall, het ophalen van software-updates en het installeren van antivirussoftware. Zie Microsoft Safety & Security Center voor meer informatie.
Microsoft-software bijgewerkt houden
Gebruikers met Microsoft-software moeten de nieuwste Beveiligingsupdates van Microsoft toepassen om ervoor te zorgen dat hun computers zo beveiligd mogelijk zijn. Als u niet zeker weet of uw software up-to-date is, gaat u naar Microsoft Update, scant u uw computer op beschikbare updates en installeert u eventuele updates met hoge prioriteit die aan u worden aangeboden. Als u automatische updates hebt ingeschakeld en geconfigureerd om updates voor Microsoft-producten te bieden, worden de updates aan u geleverd wanneer ze worden uitgebracht, maar controleert u of ze zijn geïnstalleerd.
Overige informatie
Microsoft Active Protections Program (MAPP)
Om de beveiliging voor klanten te verbeteren, biedt Microsoft informatie over beveiligingsproblemen aan belangrijke beveiligingssoftwareproviders voorafgaand aan elke maandelijkse beveiligingsupdaterelease. Beveiligingssoftwareproviders kunnen deze beveiligingsinformatie vervolgens gebruiken om bijgewerkte beveiligingen te bieden aan klanten via hun beveiligingssoftware of -apparaten, zoals antivirussoftware, netwerkgebaseerde inbraakdetectiesystemen of systemen voor inbraakpreventie op basis van een host. Als u wilt bepalen of actieve beveiligingen beschikbaar zijn bij beveiligingssoftwareproviders, gaat u naar de actieve beveiligingswebsites van programmapartners, vermeld in MAPP-partners (Microsoft Active Protections Program).
Feedback
- U kunt feedback geven door het Microsoft Help- en ondersteuningsformulier, de klantenservice contact met ons op te geven.
Ondersteuning
- Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning van Security Support ontvangen. Zie Microsoft Help en ondersteuning voor meer informatie.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Zie Internationale ondersteuning voor meer informatie.
- Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
Vrijwaring
De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (10 maart 2015): Advies gepubliceerd.
Pagina gegenereerd 2015-03-04 14:52Z-08:00.