Microsoft-Sicherheitsempfehlung 2871997

  • Artikel

Update zum Verbessern des Schutzes und der Verwaltung von Anmeldeinformationen

Veröffentlicht: 13. Mai 2014 | Aktualisiert: 9. Februar 2016

Version: 5.0

Allgemeine Informationen

Kurzzusammenfassung

Microsoft kündigt die Verfügbarkeit von Updates für unterstützte Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 an, mit denen die Schutzmechanismen für Anmeldeinformationen und die Steuerelemente für die Domänenauthentifizierung verbessert werden, um den Diebstahl von Anmeldeinformationen zu verringern.

Updates, die sich auf diese Empfehlung beziehen

Empfehlung. Microsoft empfiehlt Endbenutzern, diese Updates umgehend mit Updateverwaltungssoftware zu installieren bzw. mithilfe des Dienstes Microsoft Update auf Updates zu prüfen. Diese Updates können in beliebiger Reihenfolge installiert werden.

  • Am 13. Mai 2014 veröffentlichte Microsoft das Update 2871997 für alle unterstützten Editionen von Windows 8, Windows RT, Windows Server 2012, Windows 7 und Windows Server 2008 R2, mit dem die Schutzmechanismen für Anmeldeinformationen und die Steuerelemente für die Domänenauthentifizierung verbessert werden, um den Diebstahl von Anmeldeinformationen zu verringern. Dieses Update bietet zusätzlichen Schutz für die lokale Sicherheitsautorität (LSA), fügt dem CredSSP (Credential Security Support Provider) einen eingeschränkten Administratormodus hinzu, führt Unterstützung für die geschützte, kontenbeschränkte Domänenbenutzerkategorie ein und setzt bei Clientcomputern mit Windows 7, Windows Server 2008 R2, Windows 8 und Windows Server 2012 strengere Authentifizierungsrichtlinien durch. Weitere Informationen zu diesem Update und Downloadadressen finden Sie im Microsoft Knowledge Base-Artikel 2871997.

    Hinweis

    Hinweis: Unterstützte Editionen von Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 enthalten diese Funktionen bereits und benötigen das Update 2871997 nicht.

  • Am 8. Juli 2014 veröffentlichte Microsoft das Update 2973351 für unterstützte Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT sowie für alle unterstützten Editionen von Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1, unter denen das Update 2919355 (Windows 8.1-Update) installiert ist. Microsoft hat das Update 2975625 für alle unterstützten Editionen von Windows 8.1 und Windows Server 2012 R2 veröffentlicht, unter denen das Update 2919355 (Windows 8.1-Update) nicht installiert ist. Das Update bietet konfigurierbare Registrierungseinstellungen zum Verwalten des eingeschränkten Administratormodus für CredSSP (Credential Security Support Provider). Weitere Informationen zu diesem Update, einschließlich Download-Adressen, finden Sie im Microsoft Knowledge Base-Artikel 2973351 und Microsoft Knowledge Base-Artikel 2975625.

Hinweis

Hinweis. Das Update ändert die standardmäßige Funktion des eingeschränkten Administratormodus für Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1. Weitere Informationen finden Sie in den Häufig gestellten Fragen (FAQs) zu dieser Sicherheitsempfehlung.

  • Am 9. September 2014 hat Microsoft das Update 2982378 für unterstützte Editionen von Windows 7 und Windows Server 2008 R2 veröffentlicht. Das Update fügt zusätzlichen Schutz für Anmeldeinformationen von Benutzern hinzu, wenn diese sich bei einem System mit Windows 7 oder Windows Server 2008 R2 anmelden, indem sichergestellt wird, dass Anmeldeinformationen sofort bereinigt werden, anstatt abzuwarten, bis ein Kerberos-TGT (Ticket Granting Ticket) bezogen wurde. Weitere Informationen zu diesem Update und Downloadadressen finden Sie im Microsoft Knowledge Base-Artikel 2982378.

     

  • Am 14. Oktober 2014 hat Microsoft die folgenden Updates veröffentlicht. Die entsprechenden Updates fügen der Remotedesktopverbindung und Remotedesktopprotokoll einen eingeschränkten Administratormodus hinzu:

    • 2984972 für unterstützte Editionen von Windows 7 und Windows Server 2008 R2
    • 2984976 für unterstützte Editionen von Windows 7 und Windows Server 2008 R2, bei denen das Update 2592687 (RDP-8.0-Update (Remotedesktopprotokoll)) installiert ist. Endbenutzer, die das Update 2984976 installieren, müssen auch das Update 2984972 installieren.
    • 2984981 für unterstützte Editionen von Windows 7 und Windows Server 2008 R2, bei denen das Update 2830477 (RDC 8.1-Clientupdate (Remotedesktopverbindung)) installiert ist. Endbenutzer, die das Update 2984981 installieren, müssen auch das Update 2984972 installieren.
    • 2973501 für alle unterstützten Editionen von Windows 8, Windows Server 2012 und Windows RT.

    Hinweis

    Unterstützte Editionen von Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 enthalten diese Funktion bereits und benötigen dieses Update nicht.

  • Am 9. Februar 2016 hat Microsoft das Update 3126593 für unterstützte Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows RT und Windows Server 2012 veröffentlicht. Dieses Update aktiviert standardmäßig den eingeschränkten Administratormodus für CredSSP (Credential Security Support Provider). Durch dieses Feature wird nach der Abmeldung die Löschung der Benutzeranmeldesitzung erzwungen. Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 2973351.

Anwendbare Software

Diese Empfehlung betrifft die folgende Software.

Betriebssystem
Windows 7 für 32-Bit-Systeme Service Pack 1
Windows 7 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
Windows 8 für 32-Bit-Systeme
Windows 8 für x64-basierte Systeme
Windows 8.1 für 32-Bit-Systeme
Windows 8.1 für x64-basierte Systeme
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
Server Core-Installationsoption
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)
Windows Server 2012 (Server Core-Installation)
Windows Server 2012 R2 (Server Core-Installation)
  Häufig gestellte Fragen (FAQs) zu dieser Empfehlung --------------------------------------------------- **Was genau umfasst diese Empfehlung?** Mit dieser Empfehlung sollen Benutzer darüber benachrichtigt werden, dass Updates für Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 verfügbar sind, die zusätzlichen Schutz und Verwaltung für Anmeldeinformationen bieten. **Für welche Systeme stellt der Diebstahl von Anmeldeinformationen hauptsächlich ein Risiko dar?** Unternehmensumgebungen, in denen Windows-Domänen bereitgestellt werden, sind hauptsächlich gefährdet. Bei Servern ist das Risiko größer, wenn Administratoren Benutzern ermöglichen, sich bei Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen. **Gibt es Funktionsänderungen in den Updates 2973351 und 2975625?** Ja. Das Standardverhalten für den eingeschränkten Administratormodus wurde unter Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 geändert. Der eingeschränkte Administratormodus ist jetzt standardmäßig ausgeschaltet. Wenn Sie diese Funktion nutzen möchten, müssen Sie sie nach der Installation von Update 2973351 oder 2975625 wieder aktivieren. Zuvor war der eingeschränkte Administratormodus standardmäßig aktiviert. Weitere Informationen zum Aktivieren des eingeschränkten Administratormodus finden Sie im [Microsoft Knowledge Base-Artikel 2973351](https://support.microsoft.com/de-de/kb/2973351) oder [Microsoft Knowledge Base-Artikel 2975625](https://support.microsoft.com/de-de/kb/2975625). Update 2973351 ändert unter unterstützten Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows 2012 oder Windows RT das Standardverhalten nicht. Der eingeschränkte Administratormodus ist bei diesen Betriebssystemen standardmäßig deaktiviert. **Ersetzen die Updates 2973351 und 2975625 das Update 2871997?** Nein. Update 2871997 ist erforderlich, um Update 2973351 oder 2975625 installieren zu können. Diese Updates bieten konfigurierbare Registrierungseinstellungen für den eingeschränkten Administratormodus, der hinzugefügt wurde, als Sie Update 2871997 installierten. **Für Windows 8.1 und Windows Server 2012 R2 sind mehrere Updates aufgeführt. Muss ich alle Updates installieren?** Nein. Je nachdem, wie Ihr System für den Bezug von Updates konfiguriert ist, trifft möglicherweise nur eines der Updates für Windows 8.1 oder Windows Server 2012 R2 zu. Für Systeme, auf denen Windows 8.1 oder Windows Server 2012 R2 ausgeführt wird: Das Update 2973351 trifft auf Systeme zu, auf denen das Update 2919355 (Windows 8.1-Update) bereits installiert ist. Das Update 2975625 trifft auf Systeme zu, auf denen das Update 2919355 nicht installiert ist. Das Update 2975625 ist nur für Endbenutzer erhältlich, die Updates mithilfe der Windows Server Update Services (WSUS), Windows Intune oder System Center Configuration Manager verwalten. **Bestehen unter Windows 8.1, Windows Server 2012 R2 oder Windows RT 8.1 Voraussetzungen für das Update 2973351?** Ja. Endbenutzer, die Windows 8.1, Windows Server 2012 R2 oder Windows RT 8.1 ausführen, müssen zuerst das im April 2014 veröffentlichte Update 2919355 (Windows 8.1-Update) installieren, bevor sie das Update 2973351 installieren. Weitere Informationen zu dem vorausgesetzten Update finden Sie im [Microsoft Knowledge Base-Artikel 2919355](https://support.microsoft.com/de-de/kb/2919355). **Muss ich alle Sicherheitsupdates installieren, die für diese Empfehlung veröffentlicht wurden?** Ja. Benutzer sollten alle Updates installieren, die für die Software angeboten wird, die auf ihrem System installiert ist, um alle Funktionen zum Schutz der Anmeldeinformationen zu erhalten. **Welches sind die erwarteten Bereitstellungsszenarios?** Obwohl diese Änderungen den Schutz von Anmeldeinformationen auf allen Systemen verbessern werden, sind sie in einer Unternehmensumgebung, in der Windows-Domänen bereitgestellt werden, besonders hilfreich. Einige der Änderungen sind abhängig von Funktionen, die in einer auf Windows Server 2012 R2 basierenden Domäne verfügbar sind, und andere Änderungen sind in allen Unternehmensumgebungen nützlich. **Was ist der Subsystemdienst für die lokale Sicherheitsautorität (LSASS; Local Security Authority Subsystem Service)?** Der Subsystemdienst für die lokale Sicherheitsautorität (Local Security Authority Subsystem Service, LSASS) stellt eine Schnittstelle zum Verwalten von lokaler Sicherheit, Domänenauthentifizierung und Active Directory-Prozessen zur Verfügung. Der Dienst regelt die Authentifizierung für den Client und den Server. Außerdem enthält er Funktionen zur Unterstützung von Active Directory-Dienstprogrammen. **Was ist die lokale Sicherheitsautorität (LSA)?** Die lokale Sicherheitsautorität (LSA), die sich im LSASS-Prozess befindet, überprüft Benutzer bei lokalen und Remoteanmeldungen und setzt lokale Sicherheitsrichtlinien durch. **Was bewirkt dieses Update?** Dieses Update verbessert die Schutzmechanismen für Anmeldeinformationen und die Steuerelemente für die Domänenauthentifizierung, um den Diebstahl von Anmeldeinformationen zu verringern, indem in den folgenden vier Bereichen Verbesserungen vorgenommen werden: - **Eingeschränkter Administratormodus für CredSSP (Credential Security Support Provider)** Anwendungen können so geschrieben werden, dass diese Änderung dazu verwendet wird, eine Verbindung zu einem fernen Server herzustellen, ohne dass Anmeldeinformationen an den Hostserver übertragen werden. Dadurch wird verhindert, dass Ihre Anmeldeinformationen bei der anfänglichen Verbindung geerntet werden, wenn der Server manipuliert wurde. Wenn der Host überprüft, ob das Benutzerkonto, mit dem eine Verbindung hergestellt wird, über Administratorrechte verfügt und den eingeschränkten Administratormodus unterstützt, wird die Verbindung erfolgreich hergestellt. Andernfalls schlägt der Verbindungsversuch fehl. Der eingeschränkte Administratormodus sendet niemals Klartext oder andere wiederverwendbare Formen von Anmeldeinformationen an Remotecomputer. Zwei Registrierungsschlüsseleinstellungen können konfiguriert werden, um den eingeschränkten Administratormodus zu verwalten. Der Schlüssel „DisableRestrictedAdmin“ dient zum Aktivieren bzw. Deaktivieren des eingeschränkten Administratormodus. Wenn der eingeschränkte Administratormodus aktiviert ist, wird mit „DisableRestrictedAdminOutboundCreds“ die Fähigkeit für einen Benutzer (der über Remotedesktop mit eingeschränktem Administratormodus mit einem System verbunden ist) aktiviert bzw. deaktiviert, sich mit dem lokalen Rechnerkonto automatisch bei Remoteressourcen zu authentifizieren. - **Bereinigung von Anmeldeinformationen in der LSA** Diese Funktion verringert die Angriffsfläche von Anmeldeinformationen für die Domäne in der lokalen Sicherheitsautorität. Änderungen an dieser Funktion umfassen: das Verhindern von Netzwerkanmeldungen und interaktiven Remoteanmeldungen bei mit Domänen verbundenen Computern mithilfe lokaler Konten; das Einschränken des von Kerberos/NTLM/Digest/CredSSP bereitgestellten Anmeldeinformationscache; das Einschränken des Kerberos-Cache mit unverschlüsselten Kennwörtern; das Nicht-Zwischenspeichern von Anmeldeinformationen in CredSSP, es sei denn, dies wird von der Richtlinie zugelassen; und das Einschränken der Verwendung von Anmeldeinformationen für Digest. - **Sicherheitsgruppe „Geschützte Benutzer“** Diese Funktion fügt Unterstützung für die Sicherheitsgruppe „Geschützte Benutzer“ hinzu, die mit Windows 8.1 und Windows Server 2012 R2 eingeführt wurde. Diese Unterstützung kann auf Computer angewandt werden, die Mitglieder einer auf Windows Server 2012 R2 basierenden Domäne sind. Mitglieder der Gruppe „Geschützte Benutzer“ sind durch die folgenden Authentifizierungsmethoden noch weiter eingeschränkt: - Ein Mitglied der Gruppe „Geschützte Benutzer“ kann sich nur mit dem Kerberos-Protokoll anmelden. Das Konto kann nicht mit NTLM, Digestauthentifizierung oder CredSSP authentifizieren. Auf einem Gerät mit Windows 8 werden Kennwörter nicht zwischengespeichert, sodass das Gerät, das einen der SSPs (Security Support Provider) verwendet, nicht bei einer Domäne authentifiziert werden kann, wenn das Konto ein Mitglied der Gruppe „Geschützte Benutzer“ ist.. - Das Kerberos-Protokoll verwendet in der Vorauthentifizierung nicht die schwächeren Verschlüsselungstypen DES oder RC4. Das bedeutet, dass die Domäne zumindest auf die Unterstützung der AES-Codierungssuite konfiguriert werden muss. - Das Konto des Benutzers kann mit der eingeschränkten oder uneingeschränkten Delegierung von Kerberos nicht delegiert werden. Das bedeutet, dass frühere Verbindungen zu anderen Systemen fehlschlagen können, wenn der Benutzer ein Mitglied der Gruppe „Geschützte Benutzer“ ist. - **Eingeschränkter Administratormodus für Remotedesktopverbindung** Diese Funktion fügt Unterstützung für den eingeschränkten Administratormodus zu Remotedesktopverbindung und Remotedesktopprotokoll unter Windows 7, Windows Server 2008 R2, Windows 8 und Windows Server 2012 hinzu, der mit Windows 8.1 und Windows Server 2012 R2 eingeführt wurde. - Der eingeschränkte Administratormodus bietet eine Methode zum interaktiven Anmelden bei einem entfernten Hostserver, ohne dass Sie Ihre Anmeldeinformationen an den Server übertragen müssen. Dadurch wird verhindert, dass Ihre Anmeldeinformationen bei der anfänglichen Verbindung geerntet werden, wenn der Server manipuliert wurde. - Wenn dieser Modus mit Administratoranmeldeinformationen verwendet wird, versucht der Remotedesktopclient, sich interaktiv bei einem Host anzumelden, der diesen Modus auch ohne das Senden von Anmeldeinformationen unterstützt. Wenn der Host überprüft, ob das Benutzerkonto, mit dem eine Verbindung hergestellt wird, über Administratorrechte verfügt und den eingeschränkten Administratormodus unterstützt, wird die Verbindung erfolgreich hergestellt. Andernfalls schlägt der Verbindungsversuch fehl. Der eingeschränkte Administratormodus sendet niemals Klartext oder andere wiederverwendbare Formen von Anmeldeinformationen an Remotecomputer. - Weitere Informationen finden Sie unter [What's New in Remote Desktop Services in Windows Server](https://technet.microsoft.com/de-de/library/dn283323.aspx) (Englisch). Weitere Informationen: ---------------------- ### Microsoft Active Protections Program (MAPP) Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter [MAPP-Partner (Microsoft Active Protections Program)](https://technet.microsoft.com/de-de/security/dn467918) aufgeführt sind. ### Feedback - Sie können uns Ihr Feedback über das Formular [Kundendienst/Kontakt](https://support.microsoft.com/kb/?scid=sw;en;1257&showpage=1&ws=technet&sd=tech) auf der Microsoft-Website „Hilfe und Support“ mitteilen. ### Support - Technischer Support ist über den [Security Support](https://consumersecuritysupport.microsoft.com/default.aspx?mkt=de-de) erhältlich. Weitere Informationen finden Sie auf [Microsoft-Hilfe und -Support](https://support.microsoft.com/de-de). - Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen finden Sie auf [Internationale Unterstützung](https://support2.microsoft.com/de-de/common/international.aspx). - Auf der Microsoft-Website [TechNet Sicherheit](https://technet.microsoft.com/de-de/security/default.aspx) werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt. ### Haftungsausschluss Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie. ### Revisionen - V1.0 (13. Mai 2014): Die Empfehlung wurde veröffentlicht. - V2.0 (8. Juli 2014): Empfehlung erneut veröffentlicht, um die Veröffentlichung der Updates 2973351 und 2919355 anzukündigen, mit denen eine stärkere Kontrolle über die eingeschränkten Administratoreinstellungen bereitgestellt wird. Je nach der Software, die auf ihrem System installiert ist, sollten Endbenutzer das Update 2973351 oder 2919355 sofort installieren. Weitere Informationen finden Sie unter **Updates, die sich auf diese Empfehlung beziehen** und **Häufig gestellte Fragen (FAQs) zu dieser Empfehlung**. - V3.0 (9. September 2014): Die Empfehlung erneut veröffentlicht, um die Veröffentlichung des Updates 2982378 anzukündigen und zusätzlichen Schutz für Anmeldeinformationen von Benutzern zu bieten, wenn diese sich bei einem System mit Windows 7 oder Windows Server 2008 R2 anmelden. Weitere Informationen finden Sie unter **Updates, die sich auf diese Empfehlung beziehen**. - V4.0 (14. Oktober 2014): Empfehlung erneut veröffentlicht, um die Veröffentlichung von Updates anzukündigen, die bei der Anmeldung bei einem entfernten Hostserver zusätzlichen Schutz für Anmeldeinformationen von Benutzern bieten. Weitere Informationen finden Sie unter **Updates, die sich auf diese Empfehlung beziehen** und **Häufig gestellte Fragen (FAQs) zu dieser Empfehlung**. - V5.0 (9. Februar 2016): Die Empfehlung wurde neu veröffentlicht, um anzukündigen, dass mit dem Update 3126593 der eingeschränkte Administratormodus für CredSSP (Credential Security Support Provider) standardmäßig aktiviert wird. Nähere Informationen finden Sie im Abschnitt **Mit dieser Empfehlung verbundene Updates**. *Seite generiert am 09.10.2014 um 15:32Z-07:00.*