Microsoft Windows Media - Freeme 軟體修正

Freeme.exe 可修正內容擁有者和服務提供者的通訊

狀況
Microsoft 已評估 The Register 網站於 2001 年 10 月 19 日所公佈的 Freeme.exe 軟體，並為購買或擁有 Microsoft Windows Media Digital Rights Management 版本 7 (包含 7.1) 所保護之內容的使用者確認了一個事實，就是套用 Freeme 軟體可能會違反 Digital Rights Management (DRM) 對該內容的保護。請特別注意，這類違規並不會對使用者電腦上的個人資訊造成隱私權的侵犯。此外，這類違規只會影響 Windows Media Rights Manager 版本 7 的「軟體開發套件 (SDK)」所保護的內容，而不會影響版本 1 所保護的內容。

Microsoft 也已確認出，當使用者取得有效的授權時可以偵測到這類違規，這表示您無法阻止使用者未被授權或尚未購買之內容的安全性，因為當內容是以 Microsoft Windows Media DRM 保護時，使用者就可分別從內容中取得授權。

Microsoft 對任何 DRM 違規都非常重視。不論是現在或未來，確保駭客無法侵擾我們產品的安全性，必定是我們的第一要務。由於任何 DRM 系統都有可能會遭到修改，因此 Microsoft 會指定 Windows Media DRM 系統來支援動態更新，以處理此類安全性事件。這類更新機制又稱為「安全性更新」，它不需使用新版的 Windows Media Player 或 Windows Media 格式的軟體開發套件就能執行。

Microsoft 已發佈 Freeme 軟體的修正，而且我們也加入了其他的安全性功能，讓未來的攻擊者更難利用已發佈的資訊來進行攻擊。

修正摘要
執行詳細資料
使用者體驗
最佳作法

修正摘要
這類 Windows Media DRM 違規的解決方案，是無法執行的 Windows Media 安全性元件的程序，並且可用來取代 DRM 子系統所保護的內容模組 (或黑盒子) 的新安全性程序。從消費者的觀點來看，這表示使用者需要先更新安全性元件，才能播放自內容擁有者或散發者所下載的安全內容。不過，這個程序已經過設計，因此不會傳送個人的身分資訊或使用者的內容用法相關資訊。

Freeme 違規的修正涉及：

封裝新內容或重新封裝已加密的內容以取得更新的安全性元件
更新授權伺服器以觸發更新程序和使用更新元件的授權，以及
當使用者擷取保護的內容時，更新 Media Player 中的安全性元件

若要針對 Windows Media DRM 系統執行此更新，您必須完成下列三個步驟：

更新內容頁首：封裝新內容或重新封裝現有內容時，在內容頁首中新增或修改安全性內容版本識別碼 (技術上稱為「個別化版本號碼」) 來觸發安全性元件的更新。
更新授權伺服器：在授權伺服器上更新憑證，讓授權伺服器將授權發行到新的安全性元件。
觸發更新：當用戶端對授權伺服器提出要求時，觸發安全性元件的更新。

回到頁首

執行詳細資料：
您必須執行下列步驟才能夠解決 Freeme 軟體違規。內容擁有者或授權發行者應執行更新內容首頁的第一個步驟，而授權發行者則必須執行第二和第三步驟。我們強烈建議內容擁有者以最高的安全性元件版本號碼 2.2 來重新封裝其所有內容，確保他們的內容能受到保護。

1. 更新內容頁首
這個程序是由封裝內容的組織所執行的。在這個步驟中，內容封裝者將新增屬性，或是變更屬性 (如果這個屬性已針對受保護的 Windows Media 檔案之頁首使用「個別化」)。請注意，這與重新加密內容是「不同」的。

若要更新頁首，請遵循下列指示：
在受保護的內容頁首中，將 WMRMHeader.IndividualizedVersion 設成 2.2。屬性 WMRMHeader.IndividualizedVersion 可指出播放此內容所需的 Windows Media DRM 安全性元件的最低版本。若將此屬性設為 2.2，用戶端就會呼叫 DRM 子系統來檢查它是否有正確的安全性元件版本。若子系統具有版本號碼 2.2 的個別化安全性元件，授權伺服器就能發行新的安全性元件的公開金鑰所繫結之授權。

2. 更新授權伺服器
每一位授權發行者都必須更新其授權伺服器設定以確定：

它不會將授權發行給 PC 上擁有已修改之安全性元件的使用者
它可將授權發行給 PC 上擁有已更新之安全性元件的使用者。

您可以利用下列步驟來更新設定：

在執行授權伺服器的機器上，前往：http://licenseserver.windowsmedia.com/
按一下這個網頁上的 [下載最新的授權伺服器資訊] 連結，以自動更新您授權伺服器的設定

此外，您可以利用下列步驟來手動更新授權伺服器：

在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys 下建立名為 2.2.0.1 的新登錄機碼
將此新建的登錄機碼值設為 WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fw==
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys 下，將登錄機碼 2.1.0.0 的值變更為 WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fy==
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys 下，將登錄機碼 2.1.0.1 的值變更為 WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fy==

附註：如此便能夠防止授權伺服器將授權發行到舊的安全性元件。

附註：若未更新授權伺服器 (利用以上步驟)，而更新的用戶端 (已更新為新的安全性元件的伺服器) 對授權伺服器提出要求，則授權伺服器將會失敗，並且產生用戶端的錯誤。因此，請務必更新您的授權伺服器或指定代理授權伺服器，確保更新的用戶端能接收授權。

3. 在伺服器端觸發新安全性元件的更新
這個步驟將更新授權伺服器，讓它能偵測到提出授權要求的 DRM 安全性元件的版本號碼，並在安全性元件版本小於 2.2.0.1 時，將它重新導向升級的網頁。

當 Media Player 要求內容的授權時，它會將硬體的相關資訊傳給授權伺服器。它並不會傳送個人身分資訊或使用者使用內容的相關資訊。資訊中將含有 ClientAttribute 屬性 (WMRMChallenge.ClientAttribute)，稱為 SECURITYVERSION。此屬性將指定 DRM 安全性元件的安全性版本。若 SECURITYVERSION 屬性的值小於 2.2.0.1，則授權伺服器應該將用戶端重新導向 Microsoft 所主控的網頁 (

http://drmlicense.one.microsoft.com/Indivsite/indivit2.htm)，以便在使用者機器上更新 DRM 安全性元件。

附註：即使受保護的內容是透過無訊息授權傳遞來呼叫的，當使用者在取得授權時，系統仍會通知他們需要新的安全性元件，並且只有在獲得他們的同意時，系統才會安裝新的安全性元件。

附註：您可以在 WMRM SDK v7.1 中找到指令檔範例，這些指令檔範例會以新的個別化版本號碼來更新內容，並將內容授權從 v1 升級到 v7.1。

回到頁首

使用者體驗
若內容標題所指定的安全性版本號碼高於機器所保護的內容模組的安全性版本號碼，授權伺服器就會將使用者重新導向至 Microsoft Individualization Service，以便將 DRM 子系統更新為新的安全性元件。若使用者是使用 Windows Media Player，則他 (她) 將看到下列 [個別化] 對話方塊，並且可選擇是否要升級。

Freefix

當使用者按一下 [進一步了解] 時，則會導向網頁：

http://www.microsoft.com/windows/windowsmedia/software/v8/privacy.asp，使用者能夠在這個網頁中找到 Microsofts 隱私權原則的詳細資訊。

若使用者選擇不升級，他 (她) 就無法擷取或播放需要較高安全性版本的新內容。
若使用者選擇升級，個別化服務會將新的受保護內容模組 (包含大約 110K 大小的修正檔) 下載到使用者機器。授權伺服器接下來就能發行授權，繫結到最近下載的受保護內容模組之公開金鑰。

回到頁首

最佳作法
除了上述程序，我們建議您遵循 Windows Media Rights Manager 軟體開發套件所說明的最佳作法。特別是：

以每一段媒體內容本身的唯一識別碼加密該媒體內容。
定期變更識別值種子。
僅發行 Windows Media DRM v7.1 授權。
在未來使用動態的內容頁首來快速更新內容。

回到頁首

個人資訊中心