增强型密钥使用 (EKU) 在 RFC 5280 的第 4.2.1.12 节中进行了描述。 除了或替代在密钥使用扩展中表明的基本目的之外，此扩展还表明可以使用认证公钥的一个或多个目的。 例如，用于客户端到服务器的身份验证的证书必须配置为“客户端身份验证”。 同样，用于服务器的身份验证的证书必须配置为“服务器身份验证”。 完成此更改后，如果根证书被禁用，则还需要证书上相应的客户端/服务器 EKU，否则证书链验证会失败。

当证书用于身份验证时，验证器检查由远程终结点提供的证书，并在应用程序策略扩展中查找正确的目的对象标识符。 当证书用于客户端身份验证时，用于客户端身份验证的此对象标识符必须存在于证书的 EKU 扩展中，否则身份验证会失败。 客户端身份验证的对象标识符为 1.3.6.1.5.5.7.3.2。同样，当证书用于服务器身份验证时，用于服务器身份验证的此对象标识符必须存在于证书的 EKU 扩展中，否则身份验证会失败。 服务器身份验证的对象标识符为 1.3.6.1.5.5.7.3.1。 没有 EKU 扩展的证书将继续正确地进行身份验证。

首先，考虑对组件的证书进行更改，以确保它们正在使用正确的 EKU OID 属性并得到了妥善保护。 如果暂时无法访问正确地重新颁发的证书，可以选择加入或退出安全更改，以避免任何连接效果。 为此，请在配置文件中指定以下 appsetting： 注意 将该值设置为“true”将选择退出安全更改。

下列文章包含此安全更新针对具体产品版本的其他信息。 文章可能包含已知问题信息。

4055000 适用于 Windows Server 2012 的 .NET Framework 4.6、4.6.1、4.6.2、4.7 和 4.7.1 安全与质量汇总说明 (KB 4055000)

4054994 适用于 Windows Server 2012 的 .NET Framework 4.5.2 安全与质量汇总说明 (KB 4054994)

4054997 适用于 Windows Server 2012 的 .NET Framework 3.5 SP1 安全与质量汇总说明 (KB 4054997)

Windows 10、Windows 8.1、Windows Server 2012 R2 和 Windows Server 2016 客户

我们建议所有客户通过运行兼容且受支持的防病毒软件来保护自己的设备。 客户可以利用内置的防病毒保护、用于 Windows 8.1 和 Windows 10 设备的 Windows Defender 防病毒或兼容的第三方防病毒应用程序。 防病毒软件必须按照以下“设置注册表项”中所述设置注册表项，以便你接收 2018 年 1 月的安全更新。

Windows 7 SP1 和 Windows Server 2008 R2 SP1 客户

Windows 7 SP1 或 Windows Server 2008 R2 SP1 的默认安装没有安装防病毒应用程序。 在这些情况下，我们建议安装兼容且受支持的防病毒应用程序，例如 Microsoft Security Essentials 或第三方防病毒应用程序。防病毒软件必须按照以下“设置注册表项”中所述设置注册表项，以便你接收 2018 年 1 月的安全更新。

没有防病毒软件的客户

如果你无法安装或运行防病毒软件，我们建议按照以下“设置注册表项”中所述手动设置注册表项，以便你接收 2018 年 1 月的安全更新。

设置注册表项

警告 注册表编辑器使用不当可造成严重问题，这些问题可能需要重新安装操作系统。 Microsoft 无法保证能够解决因注册表编辑器使用不当而导致的问题。 使用“注册表编辑器”需要你自担风险。 有关如何编辑注册表的信息，请查看“注册表编辑器”中的“更改项和值”帮助主题，或查看 Regedt32.exe 中的“添加和删除注册表中的信息”和“编辑注册表数据”帮助主题。

注意 你将不会收到 2018 年 1 月的安全更新（或任何后续的安全更新），并且不会防御安全漏洞，除非你的防病毒软件设置了以下注册表项：

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000”