Microsoft-Sicherheitsempfehlung (973811)

Zweck dieser Sicherheitsempfehlung: Diese Empfehlung wurde veröffentlicht, um Benutzern die Veröffentlichung eines nicht sicherheitsrelevanten Updates anzukündigen, das eine neue Funktion auf der Windows-Plattform bereitstellt: Erweiterter Authentifizierungsschutz.

Status der Empfehlung: Die Empfehlung wurde veröffentlicht.

Empfehlung: Lesen Sie die Vorschläge und führen Sie die entsprechenden Maßnahmen durch.

Diese Empfehlung kündigt die Veröffentlichung dieser Funktion für die folgenden Plattformen an:

Was genau umfasst diese Empfehlung?
Microsoft hat diese Empfehlung veröffentlicht, um die Veröffentlichung einer neuen Funktion, „Erweiterter Authentifizierungsschutz“, als Update für Windows SSPI anzukündigen, um Schutz gegen das Weiterleiten von Anmeldeinformationen zu bieten.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Nein, dies ist keine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist. Diese Funktion ist eine optionale Konfiguration, die einige Benutzer u. U. bereitstellen möchten. Sie ist nicht für alle Benutzer geeignet. Weitere Informationen zu dieser Funktion und der entsprechenden Konfiguration finden Sie im Microsoft Knowledge Base-Artikel 973811. Diese Funktion ist bereits in Windows 7 und Windows Server 2008 R2 enthalten.

Was ist der erweiterte Schutz für Windows-Authentifizierung?
Das Update im Microsoft Knowledge Base-Artikel 968389 ändert die SSPI, um die Funktionsweise der Windows-Authentifizierung zu verbessern, damit Anmeldeinformationen nicht einfach weitergeleitet werden, wenn die Integrierte Windows-Authentifizierung (IWA) aktiviert ist.

Wenn der erweiterte Authentifizierungsschutz aktiviert ist, sind Authentifizierungsanforderungen sowohl an den SPN (Service Principal Name) des Servers gebunden, mit dem der Client eine Verbindung herzustellen versucht, als auch an den äußeren TLS-Kanal (Transport Layer Security), über den die IWA-Authentifizierung stattfindet. Dies ist ein Basisupdate, das Anwendungen ermöglicht, die neue Funktion auszuwählen.

In zukünftigen Updates werden einzelne Systemkomponenten geändert, die die IWA-Authentifizierung durchführen, damit die Komponenten diesen Schutzmechanismus verwenden. Endbenutzer müssen sowohl das Update aus dem Microsoft Knowledge Base-Artikel 968389 als auch die jeweiligen anwendungsspezifischen Updates für die Clientanwendungen und Server installieren, auf denen der erweiterte Authentifizierungsschutz aktiviert werden muss. Bei der Installation wird der erweiterte Authentifizierungsschutz auf dem Client durch die Verwendung von Registrierungsschlüsseln kontrolliert. Auf dem Server ist die Konfiguration anwendungsspezifisch.

Welche anderen Schritte unternimmt Microsoft, um diese Funktion zu implementieren?

Änderungen müssen an bestimmten Server- und Clientanwendungen vorgenommen werden, die die Integrierte Windows-Authentifizierung (IWA) verwenden, um sicherzustellen, dass diese die neue Schutztechnologie auswählen.

Die am 11. August 2009 von Microsoft veröffentlichten Updates umfassen:

• Microsoft Knowledge Base-Artikel 968389 implementiert den erweiterten Authentifizierungsschutz in der SSPI-Schnittstelle (Windows Security Support Provider Interface). Dieses Update ermöglicht Anwendungen, den erweiterten Authentifizierungsschutz auszuwählen.
• Microsoft Security Bulletin MS09-042 enthält außerdem ein nicht sicherheitsrelevantes Update mit Maßnahmen zur Verbesserung der Tiefenverteidigung, das dem Telnet-Client und -Server ermöglicht, den erweiterten Authentifizierungsschutz auszuwählen.

Das am 13. Oktober 2009 von Microsoft veröffentlichte Update ist:

• Microsoft Security Bulletin MS09-054 enthält ein nicht sicherheitsrelevantes Update mit Maßnahmen zur Verbesserung der Tiefenverteidigung, das WinINET ermöglicht, den erweiterten Authentifizierungsschutz zu aktivieren.

Die am 8. Dezember 2009 von Microsoft veröffentlichten Updates umfassen:

• Microsoft Knowledge Base-Artikel 971737 enthält ein nicht sicherheitsrelevantes Update, das der API für Windows HTTP-Dienste (WinHTTP) ermöglicht, den erweiterten Authentifizierungsschutz auszuwählen.
• Microsoft Knowledge Base-Artikel 970430 enthält ein nicht sicherheitsrelevantes Update, das dem HTTP-Protokollstapel (http.sys) ermöglicht, den erweiterten Authentifizierungsschutz auszuwählen.
• Microsoft Knowledge Base-Artikel 973917 enthält ein nicht sicherheitsrelevantes Update, das den Internetinformationsdiensten (IIS) ermöglicht, den erweiterten Authentifizierungsschutz auszuwählen. Dieses Update wurde am 9. März 2010 erneut veröffentlicht. Weitere Informationen finden Sie unter Bekannte Probleme im Microsoft Knowledge Base-Artikel 973917.

Die am 8. Juni 2010 von Microsoft veröffentlichten Updates umfassen:

• Microsoft Knowledge Base-Artikel 982532 enthält ein nicht sicherheitsrelevantes Update, das .NET Framework 2.0 Service Pack 2 unter Windows Vista Service Pack 1 ermöglicht, den erweiterten Authentifizierungsschutz auszuwählen.
• Microsoft Knowledge Base-Artikel 982533 enthält ein nicht sicherheitsrelevantes Update, das .NET Framework 2.0 Service Pack 2 unter Windows Vista Service Pack 2 ermöglicht, den erweiterten Authentifizierungsschutz auszuwählen.
• Microsoft Knowledge Base-Artikel 982535 enthält ein nicht sicherheitsrelevantes Update, das .NET Framework 2.0 Service Pack 2 und 3.0 Service Pack 2 unter Windows Vista Service Pack 1 ermöglicht, den erweiterten Authentifizierungsschutz auszuwählen.
• Microsoft Knowledge Base-Artikel 982536 enthält ein nicht sicherheitsrelevantes Update, das .NET Framework 2.0 Service Pack 2 und 3.0 Service Pack 2 unter Windows Vista Service Pack 2 ermöglicht, den erweiterten Authentifizierungsschutz auszuwählen.
• Microsoft Knowledge Base-Artikel 982167 enthält ein nicht sicherheitsrelevantes Update, das .NET Framework 2.0 Service Pack 2 unter Windows XP und Windows Server 2003 ermöglicht, den erweiterten Authentifizierungsschutz auszuwählen.
• Microsoft Knowledge Base-Artikel 982168 enthält ein nicht sicherheitsrelevantes Update, das .NET Framework 2.0 Service Pack 2 und 3.0 Service Pack 2 unter Windows XP und Windows Server 2003 ermöglicht, den erweiterten Authentifizierungsschutz auszuwählen.

Das von Microsoft am 14. September 2010 veröffentlichte Update ist:

• Microsoft Knowledge Base-Artikel 2141007 enthält ein nicht sicherheitsrelevantes Update, das Outlook Express und Windows Mail ermöglicht, den erweiterten Authentifizierungsschutz auszuwählen.

Das von Microsoft am 12. Oktober 2010 veröffentlichte Update ist:

• Microsoft Knowledge Base-Artikel 2345886 enthält ein nicht sicherheitsrelevantes Update, das Windows Server Message Block (SMB) ermöglicht, den erweiterten Authentifizierungsschutz auszuwählen.

Das von Microsoft am 29. Dezember 2010 veröffentlichte Update ist:

• Eine neue Veröffentlichung von Microsoft Office Live Meeting Service Portal ermöglicht diesem, den erweiterten Authentifizierungsschutz zu unterstützen.

Das von Microsoft am 12. April 2011 veröffentlichte Update ist:

• Microsoft Knowledge Base-Artikel 2509470 enthält ein nicht sicherheitsrelevantes Update, das Microsoft Outlook ermöglicht, den erweiterten Authentifizierungsschutz auszuwählen.

Microsoft plant, die Abdeckung auszudehnen, indem zukünftige Updates veröffentlicht werden, bei denen zusätzliche Server- und Clientanwendungen von Microsoft in diese Schutzmechanismen einbezogen werden. Diese Sicherheitsempfehlung wird mit aktualisierten Informationen überarbeitet, wenn solche Updates veröffentlicht werden.

Wie können Entwickler diese Schutztechnologie in ihre Anwendungen einbetten?

Entwickler finden weitere Informationen zur Verwendung des erweiterten Authentifizierungsschutzes im folgenden MSDN-Artikel: Übersicht über erweiterten Authentifizierungsschutz.

Wie aktiviere ich diese Funktion?

Auf dem Client müssen Benutzer die folgenden Registrierungsschlüsseleinstellungen implementieren.

Ausführliche Anweisungen um Aktivieren dieses Registrierungsschlüssels finden Sie im Microsoft Knowledge Base-Artikel 968389.

• Setzen Sie den Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection auf „0“, um die Schutztechnologie zu aktivieren. Standardmäßig wird dieser Schlüssel bei der Installation auf „1“ gesetzt, womit der Schutz deaktiviert wird.
• Setzen Sie den Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel auf „3“. Dies ist unter Windows XP und Windows Server 2003 nicht die Standardeinstellung. Dies ist ein vorhandener Schlüssel zur Aktivierung der NTLMv2-Authentifizierung. Der erweiterte Schutz für Windows-Authentifizierung gilt nur für die NTLMv2- und die Kerberos-Authentifizierungsprotokolle und nicht für NTLMv1.
  
  Weitere Informationen zum Durchsetzen der NTLMv2-Authentifizierung und zu diesem Schlüssel finden Sie im Microsoft Knowledge Base-Artikel 239869.

Auf dem Server muss der erweiterte Authentifizierungsschutz für jeden Dienst einzeln aktiviert werden. Im folgenden Überblick wird gezeigt, wie der erweiterte Authentifizierungsschutz für die gemeinsamen Protokolle aktiviert wird, für die es derzeit verfügbar ist:

Telnet (KB960859)

Für Telnet kann der erweiterte Authentifizierungsschutz auf dem Server aktiviert werden, indem der DWORD-Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection erstellt wird. Der Standardwert dieses Schlüssels lautet „Legacy“. Setzen Sie den Schlüssel auf einen der folgenden Werte:

• Legacy: Indem der DWORD-Wert auf „0“ gesetzt wird, wird der erweiterte Authentifizierungsschutz auf dem Server deaktiviert und keine Verbindungen sind gegen Angriffe geschützt, bei denen Anmeldeinformationen übertragen werden, auch nicht die Verbindungen von aktualisierten und richtig konfigurierten Clients.
• Erweiterten Schutz zulassen: Indem der DWORD-Wert auf „1“ gesetzt wird, schützt der Server jene Clientcomputer, die darauf konfiguriert wurden, den erweiterten Authentifizierungsschutz gegen Angriffe durch die Übertragung von Anmeldeinformationen zu verwenden. Nicht aktualisierte und ordnungsgemäß konfigurierte Clients werden nicht geschützt.
• Erweiterten Schutz fordern: Indem der DWORD-Wert auf „2“ gesetzt wird, fordert der Server von Clients, den erweiterten Authentifizierungsschutz zu unterstützen; andernfalls wird die Authentifizierung abgelehnt. Clients, bei denen der erweiterte Schutz nicht aktiviert ist, können sich nicht beim Server authentifizieren.

Ausführliche Anweisungen zum Erstellen dieses Registrierungsschlüssels finden Sie im Microsoft Knowledge Base-Artikel 960859.

Internetinformationsdienste (KB973917)

Für Internetinformationsdienste kann erweiterter Authentifizierungsschutz auf dem Server durch Verwendung des IIS-Konfigurations-Managers aktiviert werden oder durch die direkte Bearbeitung der Konfigurationsdatei ApplicationHost.Config. Ausführliche Informationen zur Konfiguration von IIS finden Sie im Microsoft Knowledge Base-Artikel 973917.

Was sollte ich beim Bereitstellen von erweitertem Authentifizierungsschutz wissen?

Benutzer müssen das in Microsoft Knowledge Base-Artikel 968389 enthaltene Update sowie die jeweiligen Anwendungsupdates auf Client- und Servercomputern installieren und beide Computer ordnungsgemäß konfigurieren, um den Schutzmechanismus zu verwenden, mit dem sie gegen Angriffe durch die Weiterleitung von Anmeldeinformationen geschützt sind.

Wenn der erweiterte Authentifizierungsschutz auf dem Client aktiviert ist, ist er für alle Anwendungen aktiviert, die IWA verwenden. Auf dem Server jedoch muss der Schutz für jede Anwendung einzeln aktiviert werden.

Weshalb ist dies kein Sicherheitsupdate, das in einem Security Bulletin angekündigt wird?
Dieses Update implementiert eine neue Funktion, deren Aktivierung möglicherweise nicht für alle Endbenutzer geeignet ist. Es stellt eine zusätzliche Sicherheitsfunktion bereit, die Endbenutzer möglicherweise bereitstellen möchten, entsprechend ihres bestimmten Szenarios.

Dies ist eine Sicherheitsempfehlung bezüglich eines nicht sicherheitsrelevanten Sicherheitsupdates. Ist das nicht ein Widerspruch?
Sicherheitsempfehlungen behandeln Sicherheitsänderungen, die nicht unbedingt ein Security Bulletin erfordern, die sich aber dennoch auf die Gesamtsicherheit von Benutzern auswirken können. Sicherheitsempfehlungen sind eine Möglichkeit für Microsoft, Benutzern sicherheitsbezogene Informationen zu Problemen mitzuteilen, die nicht als Sicherheitsanfälligkeiten klassifiziert werden können und nicht unbedingt ein Security Bulletin erfordern, oder zu Problemen, für die kein Security Bulletin veröffentlicht worden ist. Im vorliegenden Fall teilen wir die Verfügbarkeit eines Updates mit, das keine bestimmte Sicherheitsanfälligkeit behebt, sondern vielmehr Ihre Gesamtsicherheit beeinflusst.

Wie wird dieses Update angeboten?
Diese Sicherheitsupdates sind im Microsoft Download Center verfügbar. Direkte Verknüpfungen zu den Updates für bestimmte betroffene Software sind in der Tabelle „Betroffene Software“ im Abschnitt Übersicht aufgeführt. Weitere Informationen zum Update und den Verhaltensänderungen finden Sie im Microsoft Knowledge Base-Artikel 968389.

Wird dieses Sicherheitsupdate im Rahmen von Automatischen Updates angeboten?
Ja. Diese Updates werden über die Automatischen Updates angeboten.

Für welche Versionen von Windows gilt diese Empfehlung?
Die in dieser Empfehlung behandelte Funktion wird für alle Plattformen zur Verfügung gestellt, die in der Zusammenfassung „Betroffene Software“ aufgeführt sind. Diese Funktion ist in allen Veröffentlichungen von Windows 7 und Windows Server 2008 R2 vorhanden.

• Lesen Sie den Microsoft Knowledge Base-Artikel zu dieser Empfehlung

  Benutzer, die mehr über diese Funktion erfahren möchten, sollten den Microsoft Knowledge Base-Artikel 973811 lesen.

• Übernehmen und aktivieren Sie die nicht sicherheitsrelevanten Updates, die in dieser Sicherheitsempfehlung aufgeführt werden

  Benutzer sollten die Liste von nicht sicherheitsrelevanten und sicherheitsrelevanten Updates, die Microsoft als Teil dieses Sicherheitsupdates veröffentlicht hat, überprüfen und diese Mechanismen ggf. implementieren und konfigurieren. Die Liste verfügbarer Updates steht im Eintrag Welche anderen Schritte unternimmt Microsoft, um diese Funktion zu implementieren? im Abschnitt Häufig gestellte Fragen in dieser Empfehlung zur Verfügung.

• Schützen Sie Ihren PC

  Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Mehr zu diesen Vorsichtsmaßnahmen erfahren Sie unter Schützen Sie Ihren Computer.
  
  Weitere Informationen zur Sicherheit im Internet finden Sie unter Microsoft Security Central.

• Aktualisieren Sie Windows regelmäßig

  Alle Windows-Benutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, rufen Sie die Windows Update-Website auf, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie Automatische Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.