围绕Windows7中SChannel组件(Schannel.dll)的频繁更新:
一、关于KB2868725
安装KB2868725以后提供了以下功能:
1.更新了SChannel组件,重写了Schannel.dll的核心代码,让Win7系统能够读取和响应特定位置的注册表键值。
2.提供了编程接口允许开发者在编写应用程序时,通过API直接禁用RC4。
Win7系统当初设计原本未考虑提供这个功能,后来通过KB2868725才开放的。故Windows7的KB2868725补丁是独一无二的,它提供了能够通过注册表禁用RC4的开关。若不安装KB2868725,则这个能够通过注册表禁用RC4的开关就不存在,这时你再怎么修改注册表都是无效的。
两个误区:
1. “组件被取代” 不意味 “功能被继承”
2. “文件版本更高” 不等于 “功能完全相同”
虽然后续月度汇总KB4534310、KB5073695更新了Schannel.dll这个核心DLL文件,版本号比KB2868725的更高,然而KB2868725提供的能够通过注册表禁用RC4的开关,是其独有的。也即,后续月度汇总KB4534310、KB5073695并没有包含KB2868725的特定功能。便利汇总KB3125574中集成了这个KB2868725又另当别论。
二、关于KB2992611
KB2992611补丁的主角也是schannel.dll,它是Windows中处理HTTPS、TLS/SSL协议的核心组件文件,提供了对新加密套件的实际支持。
KB2992611补丁中与安全有关的核心组件有以下五个:
“_microsoft-windows-security-credssp_31bf3856ad364e35_”(credssp.dll、tspkg.dll、tspkg.mof) ---
[color=]CredSSP身份验证协议
主要应用:远程桌面服务 (Remote Desktop Services)、Windows PowerShell远程处理 (WinRM) 等。
“_microsoft-windows-security-digest_31bf3856ad364e35_”(wdigest.dll) ---
[color=]摘要式身份验证协议
(Digest Authentication)
主要应用:对旧的Web服务器、LDAP目录服务或使用SASL协议的应用进行身份验证。
“_microsoft-windows-security-kerberos_31bf3856ad364e35_”(kerberos.dll) ---
[color=]Kerberos身份验证协议
主要应用:Active Directory (AD) 域环境下的单点登录 (SSO)。
“_microsoft-windows-security-ntlm_31bf3856ad364e35_”(msv1_0.dll) ---
[color=]NTLM身份验证协议
主要应用:工作组环境、旧版Windows系统,或为不支持Kerberos的应用提供向下兼容性。
“_microsoft-windows-security-schannel_31bf3856ad364e35_”(Schannel.dll) ---
[color=]TLS/SSL身份验证协议
主要应用:HTTPS加密、安全LDAP (LDAPS)、远程桌面 (RDP over SSL) 等所有需要加密网络通信的场景。
而KB2992611引入的新加密套件,也正是通过更新“
[color=]_microsoft-windows-security-schannel_
” 组件(对应
[color=]Schannel.dll
)来获得对新算法的实际支持,并修复了其中存在的严重安全漏洞。
结合第一点关于KB2868725补丁的论述,KB2868725提供了能够通过注册表禁用RC4的开关,它是独一无二、不可被取代的。那么KB2992611是否也是独一无二、不可被取代的?
结论是否定的,原因是KB2868725属于功能性补丁,安装KB2868725后,它为系统提供了一个开关。而KB2992611属于安全性方面的补丁,它主要是修复安全漏洞和引入新的加密套件(Schannel.dll),对于安全性方面的修复,后续月度汇总基本上全部收纳了进去。所以,KB2992611对于SChannel组件(Schannel.dll)的安全修复最终是被月度汇总KB4534210、KB5073695取代的。
