Microsoft 安全公告 30420582
默认密码套件优先级顺序更新
发布日期:2015 年 5 月 12 日 | 更新时间:2015 年 10 月 13 日
版本: 1.1
执行摘要
2015 年 5 月 12 日,Microsoft 宣布推出 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2 中加密密码套件优先级的更改。此更新将附加密码套件添加到受影响系统上的默认列表,并改善了密码套件优先级顺序。正在不断努力进行改进,以扩展 Windows 操作系统中的加密效力。
Microsoft 最初仅通过 Microsoft 下载中心 (DLC) 提供此更新,以使客户可以在使其变为环境的默认部分前测试新功能。
2015 年 10 月 13 日的公告修订,Microsoft 宣布除了 DLC 选项,3042058 更新现在还可以通过 Microsoft 更新 (MU) 和 Windows Server Update Services (WSUS) 获取。
有关其他详细信息和部署指南,请参阅 Microsoft 知识库文章 3042058。
受影响的软件
操作系统
Windows 7(用于 32 位系统)Service Pack 1Windows 7(用于基于 x64 的系统)Service Pack 1Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1Windows 8(用于 32 位系统)Windows 8(用于基于 x64 的系统)Windows Server 2012Windows 8.1(用于 32 位系统)Windows 8.1(用于基于 x64 的系统)Windows Server 2012 R2
服务器核心安装选项
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)Windows Server 2012(服务器核心安装)Windows Server 2012 R2(服务器核心安装)
公告常见问题
此公告的适用范围有多大? 此公告旨在通知客户一个可用更新,Microsoft 正在不断努力通过此更新扩展 Windows 中的安全控制效力。
此更新有什么作用?此更新可以将以下加密密码套件添加到所有受影响操作系统的默认列表中,并改善密码套件优先级顺序。
通过更新添加的密码套件TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_128_GCM_SHA256
这些密码套件有什么作用?此密码套件添加完全向前保密 (PFS) 支持。尽管具有增强的安全性,在某些情况下,由于较高的计算要求,PFS 仍可能对系统性能造成显著影响。有关详细信息,请参阅Microsoft 知识库文章 3042058。
关于此更新,内部测试应该怎样做?任何使用 Schannel 实施或协商 SSL/TLS 连接的应用程序(包括 Internet Explorer、IIS、SQL Server 或 Exchange Server)均应进行充分测试。尤其是进行大量同时连接的情况,如连接 web 或托管许多用户的数据库服务器,或处理许多安全连接并将其转发到内部服务器的边缘服务器。所有现有 SSL/TLS 应用程序应按预期的方式运行。请注意,尽管新的密码套件更安全,但它们可能占用大量资源。因此,当 SSL/TLS 连接数量扩大时(同时在服务器和客户端情况下),客户应对资源消耗的增加情况进行测试。