Sicherheitsbulletin
Microsoft Security Bulletin MS06-011 – Wichtig
Zulässige Windows-Dienste-DACLs könnten rechteerweiterungen zulassen (914798)
Veröffentlicht: 14. März 2006 | Aktualisiert: 13. Juni 2006
Version: 2.1
Zusammenfassung
Wer sollte dieses Dokument lesen: Kunden, die Microsoft Windows verwenden
Auswirkungen der Sicherheitsanfälligkeit: Rechteerweiterung
Maximale Schweregradbewertung: Wichtig
Empfehlung: Kunden sollten das Update frühestens anwenden.
Sicherheitsupdate-Ersetzung keine.
Vorbehalte:Microsoft Knowledge Base-Artikel 914798 dokumentiert die derzeit bekannten Probleme, die Kunden bei der Installation dieses Sicherheitsupdates auftreten können. Der Artikel dokumentiert auch empfohlene Lösungen für diese Probleme. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 914798.
Getestete Software- und Sicherheitsupdate-Downloadspeicherorte:
Betroffene Software:
- Microsoft Windows XP Service Pack 1 Herunterladen des Updates
- Microsoft Windows Server 2003 – Update herunterladen
- Microsoft Windows Server 2003 für Itanium-basierte Systeme– Laden Sie das Update herunter.
- Nicht betroffene Software:
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (ME)
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 mit Service Pack 1 für Itanium-basierte Systeme
- Microsoft Windows Server 2003 x64 Edition
Allgemeine Informationen
Kurzfassung
Zusammenfassung:
Dieses Update behebt eine neu entdeckte, öffentliche Sicherheitsanfälligkeit. Die Sicherheitsanfälligkeit ist im Abschnitt "Sicherheitsrisikendetails" dieses Bulletins dokumentiert.
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann die vollständige Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.
Es wird empfohlen, dass Kunden das Update frühestens anwenden.
Schweregradbewertungen und Sicherheitslücken-IDs:
| Sicherheitslücken-IDs | Auswirkungen der Sicherheitsanfälligkeit | Windows 98, 98 SE, ME | Windows 2000 | Windows XP Service Pack 1 | Windows XP Service Pack 2 | Windows Server 2003 | Windows Server 2003 Service Pack 1 |
|---|---|---|---|---|---|---|---|
| Zulässige Windows-Dienst-DACLs – CVE-2006-0023 | Rechteerweiterung\ | Keine | Keine | Wichtig\ | Keine | Mittel | Keine |
Diese Bewertung basiert auf den Arten von Systemen, die von der Sicherheitsanfälligkeit betroffen sind, ihren typischen Bereitstellungsmustern und dem Effekt, dass die Sicherheitsanfälligkeit ausgenutzt wird.
Beachten Sie , dass die Schweregradbewertungen für Nicht-x86-Betriebssystemversionen den x86-Betriebssystemversionen wie folgt zugeordnet sind:
- Die Schweregradbewertung von Microsoft Windows XP Professional x64 Edition entspricht der Schweregradbewertung von Windows XP Service Pack 2.
- Die Schweregradbewertung von Microsoft Windows Server 2003 für Itanium-basierte Systeme entspricht der Schweregradbewertung von Windows Server 2003.
- Die Schweregradbewertung von Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme entspricht der Schweregradbewertung von Windows Server 2003 Service Pack 1.
- Die Schweregradbewertung der Microsoft Windows Server 2003 x64 Edition ist identisch mit der Schweregradbewertung von Windows Server 2003 Service Pack 1.
Häufig gestellte Fragen (FAQ) zu diesem Sicherheitsupdate
Warum hat Microsoft dieses Bulletin am 13. Juni 2006 erneut veröffentlicht?
Microsoft hat dieses Bulletin und die zugehörigen Sicherheitsupdates aktualisiert, um aktualisierte Registrierungsschlüsselwerte für die NetBT-, RemoteAccess- und TCPIP-Dienste einzuschließen. Diese Werte wurden so geändert, dass sie mit Windows XP Service Pack 2 auf Windows XP Service Pack 1-Systemen identisch sind. Kunden, die Windows XP Service Pack 1 ausführen, werden empfohlen, dieses überarbeitete Update für zusätzliche Sicherheit von rechteerweiterungen über die folgenden Dienste anzuwenden, wie im Abschnitt "Sicherheitsrisikendetails" dieses Sicherheitsbulletins beschrieben. Windows 2003-Systeme ohne Angewendetes Service Pack sind von dieser Neuveröffentlichung nicht betroffen. Weitere Informationen und die aktualisierten Registrierungsschlüsselwerte finden Sie im Microsoft Knowledge Base-Artikel 914798.
Welche Änderungen enthält das überarbeitete Sicherheitsupdate?
Das überarbeitete Sicherheitsupdate enthält keine Änderungen an den Binärdateien, die im ersten Sicherheitsupdate enthalten sind. Während der Installation aktualisiert das überarbeitete Sicherheitsupdate die Registrierungs valudes für die NetBT-, RemoteAccess- und TCPIP-Dienste, wie im Microsoft Knowledge Base-Artikel 914798 angegeben.
Was sind die bekannten Probleme, die Kunden beim Installieren dieses Sicherheitsupdates feststellen können?
Microsoft Knowledge Base-Artikel 914798 dokumentiert die derzeit bekannten Probleme, die Kunden beim Installieren dieses Sicherheitsupdates auftreten können. Der Artikel dokumentiert auch empfohlene Lösungen für diese Probleme. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 914798.
Warum werden nach der Installation dieses Updates keine aktualisierten Dateien auf das System angewendet?
Für Windows XP Service Pack 1-Systeme legt dieses Update die Dienstberechtigungssteuerungsliste (DACL) auf die gleichen Einstellungen wie Windows XP Service Pack 2 fest. Für Windows 2003 ohne installiertes Service Pack legt dieses Update die ausgewählten Dienst-DACLs auf Windows 2003 Service Pack 1-Einstellungen fest. Diese Konfigurationsänderungen werden vom Installationsprogramm vorgenommen, und es werden keine Systemdateien aktualisiert, da dieses Sicherheitsupdate angewendet wird.
Kann ich dieses Update deinstallieren?
Da keine Systemdateien aufgrund der Anwendung dieses Updates geändert werden, kann dieses Update nicht entfernt werden. Für Windows 2003 ohne installiertes Service Pack und Windows XP SP1-Systeme legt dieses Update die ausgewählten Dienst-DACLs auf Windows 2003 SP1- und Windows XP SP2-Einstellungen fest. Diese Konfigurationsänderungen werden vom Installationsprogramm vorgenommen, und es werden keine Systemdateien aktualisiert, da dieses Sicherheitsupdate angewendet wird. Die Änderungen können jedoch mithilfe von Systemhilfsprogrammen rückgängig machen werden. Weitere Informationen zum Entfernen und Wiederherstellen der von diesem Update vorgenommenen DACL-Konfigurationsänderungen finden Sie im Microsoft Knowledge Base-Artikel 914798.
Enthält dieses Update sicherheitsbezogene Änderungen an Funktionen?
Ja. Zusätzlich zu den diensten, die im Abschnitt "Sicherheitsrisikendetails" des Bulletins aufgeführt sind, ändert das Update auch die DACLs für die in der folgenden Tabelle aufgeführten Dienst- und Dienstregistrierungsschlüssel für zusätzlichen Schutz. Diese zusätzlichen Dienste und Dienstregistrierungsschlüssel legen die DACLs für die unten aufgeführten Dienste auf denselben wie Windows XP Service Pack 2 auf Windows XP Service Pack 1-Systemen und Windows 2003 Service Pack 1 für Windows 2003-Systeme ohne Service Pack fest. Weitere Informationen zu diesen und anderen Dienst- und Registrierungsschlüssel-DACLs-Änderungen, die in diesem Update enthalten sind, finden Sie im Microsoft Knowledge Base-Artikel 914798.
Zusätzliche Änderungen am Dienst und Registrierungsschlüssel, die in diesem Update enthalten sind
| Betriebssystem | Dienst | Registrierungsschlüssel |
|---|---|---|
| Microsoft Windows XP Service Pack 1 | MSDTC | |
| DHCP | ||
| Netbt | ||
| Remotezugriff | ||
| TCPIP | ||
| Windows Server 2003 | MSDTC | |
| SysmonLog | ||
| DHCP | ||
| Dnscache | ||
| Netbt | ||
| Remotezugriff | ||
| TCPIP |
Sind Windows 98, Windows 98 Second Edition oder Windows Millennium Edition kritisch von einer oder mehreren sicherheitsrelevanten Sicherheitsrisiken betroffen, die in diesem Sicherheitsbulletin behandelt werden?
Nein Die in der Zusammenfassung der Geschäftsleitung aufgeführte Software wurde getestet, um festzustellen, ob die Versionen betroffen sind. Andere Versionen enthalten entweder keine Sicherheitsupdateunterstützung mehr oder sind möglicherweise nicht betroffen. Um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln, besuchen Sie die website Microsoft-Support Lifecycle.
Kann ich den Microsoft Baseline Security Analyzer (MBSA) 1.2.1 verwenden, um festzustellen, ob dieses Update erforderlich ist?
Ja. MBSA 1.2.1 bestimmt, ob dieses Update erforderlich ist. Weitere Informationen zu MBSA finden Sie auf der MBSA-Website. Da dieses Update nicht deinstalliert werden kann, müssen Benutzer die Registrierung für MBSA bearbeiten, um die Notwendigkeit für dieses Update erneut zu identifizieren, wenn die betroffenen DACLs geändert oder in einen vorherigen Zustand wiederhergestellt werden. Informationen zum Ändern der Registrierung für MBSA 1.2.1 zum Identifizieren der manuellen Entfernung dieses Updates finden Sie im Microsoft Knowledge Base-Artikel 914798.
Kann ich den Microsoft Baseline Security Analyzer (MBSA) 2.0 verwenden, um festzustellen, ob dieses Update erforderlich ist?
Ja. MBSA 2.0 bestimmt, ob dieses Update erforderlich ist. MBSA 2.0 kann Sicherheitsupdates für Produkte erkennen, die Microsoft Update unterstützt. Weitere Informationen zu MBSA finden Sie auf der MBSA-Website. Da dieses Update nicht deinstalliert werden kann, müssen Benutzer die Registrierung für MBSA bearbeiten, um die Notwendigkeit für dieses Update erneut zu identifizieren, wenn die betroffenen DACLs geändert oder in einen vorherigen Zustand wiederhergestellt werden. Informationen zum Ändern der Registrierung für MBSA 2.0 zum Identifizieren der manuellen Entfernung dieses Updates finden Sie im Microsoft Knowledge Base-Artikel 914798.
Kann ich den Systems Management Server (SMS) verwenden, um festzustellen, ob dieses Update erforderlich ist?
Ja. SMS kann dabei helfen, dieses Sicherheitsupdate zu erkennen und bereitzustellen. Informationen zu SMS finden Sie auf der SMS-Website.
Das Sicherheitsupdateinventartool kann von SMS zum Erkennen von Sicherheitsupdates verwendet werden, die von Windows Update angeboten werden, die von Software Update Services unterstützt werden, und anderen Sicherheitsupdates, die von MBSA 1.2.1 unterstützt werden. Weitere Informationen zum Sicherheitsupdateinventartool finden Sie auf der folgenden Microsoft-Website. Weitere Informationen zu den Einschränkungen des Sicherheitsupdateinventartools finden Sie im Microsoft Knowledge Base-Artikel 306460.
Das SMS 2003-Inventartool für Microsoft Updates kann von SMS zum Erkennen von Sicherheitsupdates verwendet werden, die von Microsoft Update angeboten werden und von Windows Server Update Services unterstützt werden. Weitere Informationen zum SMS 2003 Inventory Tool für Microsoft Updates finden Sie auf der folgenden Microsoft-Website.
Sicherheitsrisikodetails
Zulässige Windows-Dienste-DACLs könnten rechteerweiterungen zulassen – CVE-2006-0023
Unter Windows XP Service Pack 1 für die identifizierten Windows-Dienste ist eine Sicherheitslücke zur Rechteerweiterung vorhanden, bei der die Berechtigungen standardmäßig auf eine Ebene festgelegt sind, die es einem Benutzer mit niedriger Berechtigung ermöglicht, Eigenschaften zu ändern, die dem Dienst zugeordnet sind. Unter Windows 2003 werden Berechtigungen für die identifizierten Dienste auf eine Ebene festgelegt, die es einem Benutzer ermöglichen kann, der Gruppe der Netzwerkkonfigurationsoperatoren das Ändern von Eigenschaften zu ermöglichen, die dem Dienst zugeordnet sind. Nur Mitglieder der Gruppe "Netzwerkkonfigurationsoperatoren" auf dem Zielcomputer können Windows Server 2003 remote angreifen, und diese Gruppe enthält standardmäßig keine Benutzer. Die Sicherheitsanfälligkeit könnte es einem Benutzer mit gültigen Anmeldeinformationen ermöglichen, die vollständige Kontrolle über das System unter Microsoft Windows XP Service Pack 1 zu übernehmen.
Die Faktoren für eingeschränkte Windows-Dienste-DACLs können rechteerweiterungen ermöglichen – CVE-2006-0023
- Ein Angreifer muss über gültige Anmeldeinformationen verfügen, um diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit konnte nicht von anonymen Benutzern ausgenutzt werden.
- Vier der sechs identifizierten Dienste (NetBT, SCardSvr, DHCP, DnsCache) erfordern, dass ein Angreifer bereits in einem privilegierten Sicherheitskontext ausgeführt wird. Darüber hinaus sind die beiden Dienste SSDPSRV und UPNPHost, die es einem authentifizierten Benutzer ermöglichen, ein anfälliges System anzugreifen, nur für Windows XP Service Pack 1 anfällig.
Problemumgehungen für Sicherheitsrisiken in Windows Services DACLs können zu einer Erhöhung der Rechte führen – CVE-2006-0023:
Microsoft hat die folgenden Problemumgehungen getestet. Die identifizierten Problemumgehungen ändern die Standard-DACLs unter Windows XP Service Pack 1 und windows Server in die erweiterten Sicherheits-DACLs, die unter Windows XP Service Pack 2 und windows Server 2003 Service Pack 1 verwendet werden. Daher gelten diese Problemumgehungen als vollständige Lösungen für dieses Problem. Da die empfohlenen Zugriffskontrollen für einige Zeit mit den neuesten Betriebssystemen versenden wurden, wird davon ausgegangen, dass sie ein geringes Risiko darstellen. Jede DACL-Änderung birgt jedoch ein gewisses Risiko für die Anwendungsinkompatibilität.
Verwenden Sie den Befehl sc.exe, um geänderte Zugriffssteuerungen für die identifizierten Dienste festzulegen:
Hinweis : Sie müssen den befehl sc.exe als privilegierten Benutzer ausführen. Sie können diesen Befehl mithilfe eines Computerstartskripts oder mithilfe eines SMS-Skripts ausführen. Wenn Sie diesen Befehl ausführen, erhöhen Sie die Sicherheit der DACLs, sodass sie auf derselben Ebene sind wie Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1. Weitere Informationen zum Befehl sc.exe und zum Festlegen von DACLs für Windows-Dienste finden Sie in der folgenden Microsoft-Produktdokumentation. Diese Entschärfung erfordert nicht, dass Sie den Computer neu starten.
Führen Sie für Windows XP Service Pack 1 die folgenden Befehle aus. Jeder Befehl ändert die DACL für den zugehörigen betroffenen Dienst.
sc sdset ssdpsrv D:(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SY)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCLCSWRPWPDTLOCRRC;;; PU)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SO)(A;; CCLCSWRPLORC;;; AU)(A;; RPWPDTRC;; LS)
sc sdset netbt D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPLOCRRC;;; PU)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SO)(A;; CCLCSWRPWPDTLOCRRC;;; SY)(A;; DT;;; LS)(A;; DT;;; NS)(A;; CCLCSWRPLOCRRC;;; NEIN)
sc sdset upnphost
D:(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SY)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCLCSWRPWPDTLOCRRC;;; PU)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SO)(A;; CCLCSWRPLORC;;; AU)(A;; CCDCLCSWLOCRRC;;; LS)sc sdset s Karte svr D:(A;; CCLCSWRPWPDTLOCRRC;;; SY)(A;; CCLCSWRPWPDTLOCRRC;;; LS)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SO)(A;; CCLCSWRPLOCRRC;;; S-1-2-0)
sc sdset dhcp D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPWPDTLOCRRC;;; NO)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCLCSWRPWPDTLOCRRC;;; SY)
sc sdset dnscache D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPLOCRRC;;; PU)(A;; CCLCSWRPWPDTLOCRRC;;; NO)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCLCSWRPWPDTLOCRRC;;; SY)
Führen Sie für Windows Server 2003 jeden der folgenden Befehle aus. Jeder Befehl ändert die DACL für den zugehörigen betroffenen Dienst.
sc sdset netbt D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPLOCRRC;;; PU)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SO)(A;; CCLCSWRPWPDTLOCRRC;;; SY)(A;; DT;;; LS)(A;; DT;;; NS)(A;; CCLCSWRPLOCRRC;;; NO)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; WD)
sc sdset dhcp D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPWPDTLOCRRC;;; NO)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCLCSWRPWPDTLOCRRC;;; SY)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; WD)
sc sdset dnscache D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPLOCRRC;;; PU)(A;; CCLCSWRPWPDTLOCRRC;;; NO)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCLCSWRPWPDTLOCRRC;;; SY)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; WD)
Hinweis für Windows Server 2003 ,NetBT, DnsCache und DHCP sind die einzigen identifizierten betroffenen Dienste. Im Windows Server 2003-Szenario muss ein Angriff von einem Mitglied der Gruppe "Netzwerkkonfigurationsoperatoren" gestartet werden. Diese Gruppe ist standardmäßig leer.
Auswirkungen der Problemumgehung: Keine
Verwenden Sie Gruppenrichtlinien, um geänderte Zugriffssteuerungen für die identifizierten Dienste bereitzustellen.
Do Standard Administratoren können Gruppenrichtlinien und die Sicherheitsvorlagen verwenden, um geänderte Zugriffssteuerungen für Windows XP Service Pack 1-Systeme bereitzustellen. Weitere Informationen zum Implementieren von Sicherheitsvorlagen mithilfe von Gruppenrichtlinien finden Sie im Microsoft Knowledge Base-Artikel 816585. Sie müssen den Computer nicht neu starten, um diese Entschärfung abzuschließen.
Verwenden Sie für Windows XP Service Pack 1 die folgende Sicherheitsvorlage, um die Upnphost-, SCardSvr-, SSDPSRV-, DnsCache- und DHCP-Dienste zu ändern.
[Unicode]
Unicode=ja
[Version]
signature="$CHICAGO$"
Revision=1
[Allgemeine Diensteinstellung]
SSDPSRV,2;"D:(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SY)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCLCSWRPWPDTLOCRRC;;; PU)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; S-1-5-32-549)(A;; CCLCSWRPLORC;;; AU)(A;; RPWPDTRC;; S-1-5-19)"
upnphost,2;"D:(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; SY)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCLCSWRPWPDTLOCRRC;;; PU)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; S-1-5-32-549)(A;; CCLCSWRPLORC;;; AU)(A;; CCDCLCSWLOCRRC;;; S-1-5-19)"
s Karte svr,2;"D:(A;; CCLCSWRPWPDTLOCRRC;;; SY)(A;; CCLCSWRPWPDTLOCRRC;;; S-1-5-19)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; S-1-5-32-549)(A;; CCLCSWRPLOCRRC;;; S-1-2-0)"
dhcp,2;"D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPWPDTLOCRRC;;; NO)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCLCSWRPWPDTLOCRRC;;; SY)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; WD)"
dnscache,2;"D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPLOCRRC;;; PU)(A;; CCLCSWRPWPDTLOCRRC;;; NO)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCLCSWRPWPDTLOCRRC;;; SY)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; WD)"Verwenden Sie für Windows Server 2003 die folgende Sicherheitsvorlage, um die DnsCache- und DHCP-Dienste zu ändern.
[Unicode]
Unicode=ja
[Version]
signature="$CHICAGO$"
Revision=1
[Allgemeine Diensteinstellung]
dhcp,"D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPWPDTLOCRRC;;; NO)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCLCSWRPWPDTLOCRRC;;; SY)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; WD)"
dnscache,"D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPLOCRRC;;; PU)(A;; CCLCSWRPWPDTLOCRRC;;; NO)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA)(A;; CCLCSWRPWPDTLOCRRC;;; SY)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; WD)"Hinweis Für Windows XP Service Pack 1 und Windows Server 2003 wird das Ändern der Dienst-DACLs für den NetBT-Dienst nicht mithilfe des Microsoft-Gruppenrichtlinienobjekt-Editors unterstützt. Daher ist die DACL-Änderung des NetBT-Diensts nicht in der Sicherheitsvorlage für Windows Server 2003 enthalten.
Hinweis für Windows Server 2003 ,NetBT, DHCP und DnsCache sind die einzigen identifizierten betroffenen Dienste. Im Windows Server 2003-Szenario muss ein Mitglied der Gruppe "Netzwerkkonfigurationsoperatoren" einen Angriff starten. Diese Gruppe ist standardmäßig leer und wird selten aufgefüllt.
Auswirkungen der Problemumgehung: Zusätzlich zum Festlegen der Dienste-DACLs, die mit denen für Windows XP Service Pack 2 identisch sind, legt die bereitgestellte Sicherheitsvorlage den Dienststarttyp für den betroffenen Dienst auf die ursprüngliche Standardkonfiguration von "Automatisch" fest. Da Windows Server 2003 die Möglichkeit zum Konfigurieren der Starttypeinstellungen unterstützt, ist der Starttyp für Windows Server 2003 unverändert.
Ändern Sie die Windows-Registrierung, um Zugriffssteuerungen für jeden der identifizierten Dienste zu ändern.
Die bevorzugte Methode der Dienständerung ist die Verwendung des Befehls sc.exe . Sie können jedoch den folgenden Befehl verwenden, um die Sicherheits-DACLs der betroffenen Dienste auf dieselbe Ebene wie Windows XP Service Pack 2 zu ändern. Benutzer werden aufgefordert, die Registrierung zu sichern, bevor sie Änderungen vornehmen. Weitere Informationen zu Registrierungsskripts und zum Ändern der Windows-Registrierung finden Sie im Microsoft Knowledge Base-Artikel 214752.
Ändern Sie für Windows XP Service Pack 1 die folgenden Registrierungsschlüssel, um die betroffenen Standarddienste von Windows XP Service Pack 1 zu ändern.
Für den SSDPSRV-Dienst:
reg add HKLM\System\CurrentControlSet\Services\SSDPSRV\Security /v Security /t REG_BINARY /d _
01001480bc000000c8000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
00002008c000600000000001400ff010f0001010000000000051200000000001800ff010f00010200000000000520_
0000002002000000001800fd0102000102000000000005200000002302000000001800ff010f00010200000000000_
52000000025020000000014009d00020001010000000000050b000000000014007000020001010000000000051300_
0000010100000000000512000000010100000000000512000000Für den NetBT-Dienst:
reg add HKLM\System\CurrentControlSet\Services\netbt\Security /v Security /t REG_BINARY /d _
01001480e8000000f4000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
0000200b80008000000000014008d01020001010000000000050b000000000018009d010200010200000000000520_
0000002302000000001800ff010f000102000000000005200000002002000000001800ff010f00010200000000000_
5200000002502000000001400fd010200010100000000000512000000000014004000000001010000000000051300_
00000000140040000000010100000000000514000000000018009d0102000102000000000005200000002c0200000_
10100000000000512000000010100000000000512000000Für den UPnPHost-Dienst:
reg add HKLM\System\CurrentControlSet\Services\upnphost\Security /v Security /t REG_BINARY /d _
01001480bc000000c8000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
00002008c000600000000001400ff010f0001010000000000051200000000001800ff010f00010200000000000520_
0000002002000000001800fd0102000102000000000005200000002302000000001800ff010f00010200000000000_
52000000025020000000014009d00020001010000000000050b000000000014008f01020001010000000000051300_
0000010100000000000512000000010100000000000512000000Für den S Karte Svr-Dienst:
reg add HKLM\System\CurrentControlSet\Services\s Karte svr\Security /v Security /t REG_BINARY /d _
01001480a4000000b0000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
000020074000500000000001400fd01020001010000000000051200000000001400fd010200010100000000000513_
00000000001800ff010f000102000000000005200000002002000000001800ff010f0001020000000000052000000_
025020000000014009d01020001010000000000020000000001010000000000051200000001010000000000051200_
0000Für den DHCP-Dienst:
reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dhcp\security /v Security /t REG_BINARY /d _
01001480900000009C000000140000003000000002001C00010000002801400FF010F00010100000000000100000000020060000_
4000000000014008D01020001010000000000050B00000000001800FD010200012000000000005200000002C02000000001800FF_
010F00010200000000005200000002002000000001400FD010200010100000000000512000000101000000000005120000000101_
00000000000512000000Für den DnsCache-Dienst:
reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dnscache\security /v Security /t REG_BINARY /d_
01001480A8000000B4000000140000003000000002001C00010000002801400FF010F00010100000000000100000000020078000500_
0000000014008D01020001010000000000050B000000000018009D010200012000000000005200000002302000000001800FD010200_
010200000000005200000002C02000000001800FF010F000102000000000005200000002002000000001400FD010200010100000000_
00051200000001010000000000512000000010100000000000512000000Ändern Sie für Windows Server 2003 die folgenden Registrierungsschlüssel, um den betroffenen Standarddienst von Windows Server 2003 zu ändern.
Für den NetBT-Dienst:
reg add HKLM\System\CurrentControlSet\Services\netbt\Security /v Security /t REG_BINARY /d _
01001480e8000000f4000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
0000200b80008000000000014008d01020001010000000000050b000000000018009d010200010200000000000520_
0000002302000000001800ff010f000102000000000005200000002002000000001800ff010f00010200000000000_
5200000002502000000001400fd010200010100000000000512000000000014004000000001010000000000051300_
00000000140040000000010100000000000514000000000018009d0102000102000000000005200000002c0200000_
10100000000000512000000010100000000000512000000Für den DHCP-Dienst:
reg add HKLM\System\CurrentControlSet\Services\dhcp\Security /v Security /t REG_BINARY /d _
01001480900000009C000000140000003000000002001C00010000002801400FF010F000101000000000001000_
000000200600004000000000014008D01020001010000000000050B00000000001800FD0102000020000000000_
05200000002C02000000001800FF010F000102000000000005200000002002000000001400FD01020001010000_
000000051200000010100000000000512000000010100000000000512000000Für den DnsCache-Dienst:
reg add HKLM\System\CurrentControlSet\Services\dnscache\Security /v Security /t REG_BINARY /d _
01001480900000009C000000140000003000000002001C00010000002801400FF010F000101000000000001000_
000000200600004000000000014008D01020001010000000000050B00000000001800FD0102000020000000000_
05200000002C02000000001800FF010F000102000000000005200000002002000000001400FD01020001010000_
000000051200000010100000000000512000000010100000000000512000000Hinweis Für diese Registrierungsschlüsselwerte wurden das Zeichen "_" und ein Wagenrücklauf zur Lesbarkeit eingefügt. Entfernen Sie dieses Zeichen und diesen Wagenrücklauf, um den Befehl ordnungsgemäß auszuführen.
Auswirkungen der Problemumgehung: Zusätzlich zum Festlegen der Dienste-DACLs wie für Windows Server 2003 Service Pack 1 und Windows XP Service Pack 2 müssen Sie den Computer nicht neu starten, um diese Entschärfung abzuschließen.
Häufig gestellte Fragen (FAQ) für zulässige Windows-Dienste-DACLs können rechteerweiterungen zulassen – CVE-2006-0023
Was ist der Umfang dieser Sicherheitsanfälligkeit?
Dies ist eine Sicherheitslücke zur Rechteerweiterung . Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann die vollständige Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte die Standard-Binärdatei ändern, die den betroffenen Diensten zugeordnet ist. Anschließend könnte ein Angreifer die Dienste beenden und neu starten, um ein schädliches Programm oder eine Binärdatei auszuführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.
Was verursacht die Sicherheitsanfälligkeit?
Unter Windows XP Service Pack 1 werden Berechtigungen für die identifizierten Windows-Dienste standardmäßig auf eine Ebene festgelegt, die es einem Benutzer mit niedriger Berechtigung ermöglichen kann, Eigenschaften zu ändern, die dem Dienst zugeordnet sind. Unter Windows Server 2003 werden Berechtigungen für die identifizierten Dienste auf eine Ebene festgelegt, mit der ein Benutzer, der zur Gruppe "Netzwerkkonfigurationsoperatoren" gehört, eigenschaften ändern kann, die dem Dienst zugeordnet sind.
Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun?
Durch Ändern des standardmäßig zugeordneten Programms, das für die Ausführung durch einen bestimmten Dienst festgelegt ist, kann ein Benutzer mit niedriger Berechtigung Befehle oder ausführbare Dateien ausführen, die normalerweise einen höheren privilegierten Zugriff erfordern.
Wer könnte die Sicherheitsanfälligkeit ausnutzen?
Um die Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer über gültige Anmeldeinformationen für das betroffene System verfügen.
Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, benötigt ein Angreifer zunächst gültige Anmeldeinformationen für das betroffene System. Ein Angreifer könnte dann auf die betroffene Komponente zugreifen und eine Standardanwendung ausführen, die die Sicherheitsanfälligkeit ausnutzen und die vollständige Kontrolle über das betroffene System erlangen könnte.
Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet?
Arbeitsstationen und Server sind beide gefährdet von dieser Sicherheitsanfälligkeit.
Sind Windows 98, Windows 98 Second Edition oder Windows Millennium Edition kritisch von dieser Sicherheitsanfälligkeit betroffen?
Nein Windows 98, Windows 98 Second Edition und Windows Millennium Edition enthalten nicht die betroffenen Komponenten.
Ist Windows 2000 von dieser Sicherheitsanfälligkeit betroffen?
Szenarien wurden identifiziert, die Mitglieder der Administrativen Gruppe "Power User" umfassen. Solche Benutzer sollten jedoch als vertrauenswürdige Benutzer angesehen werden, die über umfangreiche Berechtigungen verfügen und die Möglichkeit haben, computerweite Einstellungen zu ändern. Weitere Informationen zu Rechten, die der Administrativen Gruppe "Power Users" zugeordnet sind, finden Sie im Microsoft Knowledge Base-Artikel 825069. Windows 2000 kann anfällig werden, wenn Anwendungscode von Drittanbietern installiert ist, der Dienste hinzufügt, die über eingeschränkte Zugriffssteuerungen verfügen.
Gewusst wie feststellen, ob eine Anwendung eines Drittanbieters betroffen ist?
Benutzer werden aufgefordert, sich an ihre Drittanbietersoftwareanbieter zu wenden, deren Produkte die Installation von Diensten erfordern, um festzustellen, ob nicht standardmäßige Windows-Dienste betroffen sind**.** Softwareentwickler werden ermutigt, den Microsoft Knowledge Base-Artikel 914392 zu besuchen, um weitere Informationen und bewährte Methoden zum Anwenden sicherer Zugriffskontrollen auf Dienste zu erhalten.
Könnte die Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Nein Ein Angreifer muss über gültige Anmeldeinformationen für das bestimmte System verfügen, das für Angriffe vorgesehen ist.
Was geschieht mit dem Update?
Das Update ändert die Standard-DACLs unter Windows XP Service Pack 1 und windows Server in die erweiterten Sicherheits-DACLs, die unter Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 verwendet werden.
Als dieses Sicherheitsbulletin ausgegeben wurde, wurde diese Sicherheitsanfälligkeit öffentlich offengelegt?
Ja. Diese Sicherheitsanfälligkeit wurde öffentlich offengelegt. Es wurde die Nummer für allgemeine Sicherheitsanfälligkeit und Sicherheitsanfälligkeit CVE-2006-0023 zugewiesen.
Als dieses Sicherheitsbulletin ausgegeben wurde, erhielt Microsoft alle Berichte, dass diese Sicherheitsanfälligkeit ausgenutzt wurde?
Nein Microsoft hatte Beispiele für einen öffentlich veröffentlichten Machbarkeitscode gesehen, aber keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe von Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde.
Sicherheitsupdateinformationen
Betroffene Software:
Klicken Sie auf den entsprechenden Link, um Informationen zum spezifischen Sicherheitsupdate für Ihre betroffene Software zu erhalten:
Windows Server 2003
Voraussetzungen
Für dieses Sicherheitsupdate ist eine Version von Windows Server 2003 erforderlich.
Aufnahme in zukünftige Service Packs:
Das Update für dieses Problem ist Windows Server 2003 Service Pack 1 enthalten.
Installationsinformationen
Dieses Sicherheitsupdate unterstützt die folgenden Setupoptionen.
| Schalter | Beschreibung |
|---|---|
| /help | Zeigt die Befehlszeilenoptionen an. |
| Setupmodi | |
| /passive | Unbeaufsichtigter Setupmodus. Es ist keine Benutzerinteraktion erforderlich, aber der Installationsstatus wird angezeigt. Wenn am Ende des Setups ein Neustart erforderlich ist, wird dem Benutzer ein Dialogfeld mit einer Timerwarnung angezeigt, dass der Computer in 30 Sekunden neu gestartet wird. |
| /quiet | Stiller Modus. Dies ist identisch mit dem unbeaufsichtigten Modus, aber es werden keine Status- oder Fehlermeldungen angezeigt. |
| Optionen für den Neustart | |
| /norestart | Startet nicht neu, wenn die Installation abgeschlossen ist |
| /forcerestart | Startet den Computer nach der Installation neu und erzwingt, dass andere Anwendungen beim Herunterfahren geschlossen werden, ohne zuerst geöffnete Dateien zu speichern. |
| /warnrestart[:x] | Zeigt ein Dialogfeld mit einer Timerwarnung an, dass der Computer in x Sekunden neu gestartet wird. (Die Standardeinstellung beträgt 30 Sekunden.) Vorgesehen für die Verwendung mit dem /quiet-Schalter oder dem /passiven Schalter. |
| /promptrestart | Anzeigen eines Dialogfelds, in dem der lokale Benutzer aufgefordert wird, einen Neustart zuzulassen |
| Sonderoptionen | |
| /overwriteoem | Überschreibt OEM-Dateien ohne Aufforderung |
| /nobackup | Dateien, die für die Deinstallation erforderlich sind, werden nicht gesichert. |
| /forceappsclose | Erzwingt, dass andere Programme geschlossen werden, wenn der Computer heruntergefahren wird |
| /log: Pfad | Ermöglicht die Umleitung von Installationsprotokolldateien |
| /integrate:path | Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Option angegeben ist. |
| /extract[:p ath] | Extrahiert Dateien, ohne das Setupprogramm zu starten |
| /ER | Aktiviert erweiterte Fehlerberichterstattung |
| /verbose | Aktiviert ausführliche Protokollierung. Erstellt während der Installation %Windir%\CabBuild.log. In diesem Protokoll werden die dateien beschrieben, die kopiert werden. Die Verwendung dieses Switches kann dazu führen, dass die Installation langsamer fortgesetzt wird. |
Hinweis : Sie können diese Schalter in einem Einzigen Befehl kombinieren. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch viele der Setupoptionen, die von der früheren Version des Setupprogramms verwendet werden. Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841. Weitere Informationen zum Update.exe Installer finden Sie auf der Microsoft TechNet-Website.
Bereitstellungsinformationen
Um das Sicherheitsupdate ohne Benutzereingriff zu installieren, verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows Server 2003:
Windowsserver2003-kb914798-x86-enu /quiet
Hinweis: Die Verwendung des Schalters "/quiet " unterdrückt alle Nachrichten. Dies schließt das Unterdrücken von Fehlermeldungen ein. Administratoren sollten eine der unterstützten Methoden verwenden, um zu überprüfen, ob die Installation erfolgreich war, wenn sie den Schalter "/quiet " verwenden. Administratoren sollten auch die KB914798.log Datei auf Fehlermeldungen überprüfen, wenn sie diese Option verwenden.
Informationen zum Bereitstellen dieses Sicherheitsupdates mithilfe von Software Update Services finden Sie auf der Website "Software Update Services". Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Windows Server Update Services finden Sie auf der Windows Server Update Services-Website. Dieses Sicherheitsupdate ist auch über die Microsoft Update-Website verfügbar.
Anforderung für neustarten
Für dieses Update ist kein Neustart erforderlich. Das Installationsprogramm beendet die erforderlichen Dienste, wendet das Update an und startet dann die Dienste neu. Wenn die erforderlichen Dienste jedoch aus irgendeinem Grund nicht beendet werden können oder erforderliche Dateien verwendet werden, erfordert dieses Update einen Neustart. Wenn dieses Verhalten auftritt, wird eine Meldung angezeigt, in der Sie aufgefordert werden, den Neustart durchzuführen. Um die Wahrscheinlichkeiten zu verringern, dass ein Neustart erforderlich ist, beenden Sie alle betroffenen Dienste, und schließen Sie alle Anwendungen, die die betroffenen Dateien vor der Installation des Sicherheitsupdates verwenden können. Weitere Informationen zu den Gründen, warum Sie möglicherweise aufgefordert werden, Ihren Computer neu zu starten, finden Sie im Microsoft Knowledge Base-Artikel 887012.
Entfernungsinformationen
Dieses Update kann nicht entfernt werden. Weitere Informationen zum manuellen Entfernen der von diesem Update vorgenommenen Änderungen finden Sie im Microsoft Knowledge Base-Artikel 914798.
Dateiinformationen
Da dieses Update nur Systemeigenschaften für die identifizierten Dienste ändert, werden keine neuen Binärdateien aufgrund der Updateinstallation auf das System angewendet.
Weitere Informationen zu diesem Verhalten finden Sie im Microsoft Knowledge Base-Artikel 824994.
Weitere Informationen zum Update.exe Installer finden Sie auf der Microsoft TechNet-Website.
Weitere Informationen zur Terminologie, die in diesem Bulletin angezeigt wird, z . B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.
Überprüfen, ob das Update angewendet wurde
Microsoft Baseline Security Analyzer
Um zu überprüfen, ob ein Sicherheitsupdate auf ein betroffenes System angewendet wurde, können Sie das Microsoft Baseline Security Analyzer (MBSA)-Tool verwenden. MBSA ermöglicht Es Administratoren, lokale und Remotesysteme nach fehlenden Sicherheitsupdates und auf häufige Sicherheitsfehler zu überprüfen. Weitere Informationen zu MBSA finden Sie auf der Microsoft Baseline Security Analyzer-Website.
Überprüfung des Registrierungsschlüssels
Möglicherweise können Sie auch die Dateien überprüfen, die dieses Sicherheitsupdate installiert hat, indem Sie den folgenden Registrierungsschlüssel überprüfen.
Windows Server 2003, Web Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; Windows Server 2003, Datacenter Edition; Windows Small Business Server 2003; Windows Server 2003, Enterprise Edition für Itanium-basierte Systeme; und Windows Server 2003, Datacenter Edition für Itanium-basierte Systeme:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB914798\Filelist
Hinweis : Dieser Registrierungsschlüssel enthält möglicherweise keine vollständige Liste der installierten Dateien. Außerdem wird dieser Registrierungsschlüssel möglicherweise nicht ordnungsgemäß erstellt, wenn ein Administrator oder OEM das Sicherheitsupdate in die Quelldateien der Windows-Installation integriert oder einteilt.
Windows XP
Voraussetzungen
Für dieses Sicherheitsupdate ist Microsoft Windows XP Service Pack 1 erforderlich. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 322389.
Aufnahme in zukünftige Service Packs:
Das Update für dieses Problem ist in Windows XP Service Pack 2 enthalten.
Installationsinformationen
Dieses Sicherheitsupdate unterstützt die folgenden Setupoptionen.
| Schalter | Beschreibung |
|---|---|
| /help | Zeigt die Befehlszeilenoptionen an. |
| Setupmodi | |
| /passive | Unbeaufsichtigter Setupmodus. Es ist keine Benutzerinteraktion erforderlich, aber der Installationsstatus wird angezeigt. Wenn am Ende des Setups ein Neustart erforderlich ist, wird dem Benutzer ein Dialogfeld mit einer Timerwarnung angezeigt, dass der Computer in 30 Sekunden neu gestartet wird. |
| /quiet | Stiller Modus. Dies ist identisch mit dem unbeaufsichtigten Modus, aber es werden keine Status- oder Fehlermeldungen angezeigt. |
| Optionen für den Neustart | |
| /norestart | Startet nicht neu, wenn die Installation abgeschlossen ist |
| /forcerestart | Startet den Computer nach der Installation neu und erzwingt, dass andere Anwendungen beim Herunterfahren geschlossen werden, ohne zuerst geöffnete Dateien zu speichern. |
| /warnrestart[:x] | Zeigt ein Dialogfeld mit einer Timerwarnung an, dass der Computer in x Sekunden neu gestartet wird. (Die Standardeinstellung beträgt 30 Sekunden.) Vorgesehen für die Verwendung mit dem /quiet-Schalter oder dem /passiven Schalter. |
| /promptrestart | Anzeigen eines Dialogfelds, in dem der lokale Benutzer aufgefordert wird, einen Neustart zuzulassen |
| Sonderoptionen | |
| /overwriteoem | Überschreibt OEM-Dateien ohne Aufforderung |
| /nobackup | Dateien, die für die Deinstallation erforderlich sind, werden nicht gesichert. |
| /forceappsclose | Erzwingt, dass andere Programme geschlossen werden, wenn der Computer heruntergefahren wird |
| /log:path | Ermöglicht die Umleitung von Installationsprotokolldateien |
| /integrate:path | Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Option angegeben ist. |
| /extract[:p ath] | Extrahiert Dateien, ohne das Setupprogramm zu starten |
| /ER | Aktiviert erweiterte Fehlerberichterstattung |
| /verbose | Aktiviert ausführliche Protokollierung. Erstellt während der Installation %Windir%\CabBuild.log. In diesem Protokoll werden die dateien beschrieben, die kopiert werden. Die Verwendung dieses Switches kann dazu führen, dass die Installation langsamer fortgesetzt wird. |
Hinweis : Sie können diese Schalter in einem Einzigen Befehl kombinieren. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Setupoptionen, die von der früheren Version des Setupprogramms verwendet werden. Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841. Weitere Informationen zum Update.exe Installer finden Sie auf der Microsoft TechNet-Website.
Bereitstellungsinformationen
Um das Sicherheitsupdate ohne Benutzereingriff zu installieren, verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Microsoft Windows XP:
Windowsxp-kb914798-x86-enu /quiet
Hinweis: Die Verwendung des Schalters "/quiet " unterdrückt alle Nachrichten. Dies schließt das Unterdrücken von Fehlermeldungen ein. Administratoren sollten eine der unterstützten Methoden verwenden, um zu überprüfen, ob die Installation erfolgreich war, wenn sie den Schalter "/quiet " verwenden. Administratoren sollten auch die KB914798.log Datei auf Fehlermeldungen überprüfen, wenn sie diese Option verwenden.
Anforderung für neustarten
Für dieses Update ist kein Neustart erforderlich. Das Installationsprogramm beendet die erforderlichen Dienste, wendet das Update an und startet dann die Dienste neu. Wenn die erforderlichen Dienste jedoch aus irgendeinem Grund nicht beendet werden können oder erforderliche Dateien verwendet werden, erfordert dieses Update einen Neustart. Wenn dieses Verhalten auftritt, wird eine Meldung angezeigt, in der Sie aufgefordert werden, den Neustart durchzuführen. Weitere Informationen zu den Gründen, warum Sie möglicherweise aufgefordert werden, Ihren Computer neu zu starten, finden Sie im Microsoft Knowledge Base-Artikel 887012.
Entfernungsinformationen
Dieses Update kann nicht entfernt werden. Weitere Informationen zum manuellen Entfernen der von diesem Update vorgenommenen Änderungen finden Sie im Microsoft Knowledge Base-Artikel 914798.
Da dieses Update nur Systemeigenschaften für die identifizierten Dienste ändert, werden keine neuen Binärdateien aufgrund der Updateinstallation auf das System angewendet.
Überprüfen, ob das Update angewendet wurde
Microsoft Baseline Security Analyzer
Um zu überprüfen, ob ein Sicherheitsupdate auf ein betroffenes System angewendet wurde, können Sie das Microsoft Baseline Security Analyzer (MBSA)-Tool verwenden. MBSA ermöglicht Es Administratoren, lokale und Remotesysteme nach fehlenden Sicherheitsupdates und auf häufige Sicherheitsfehler zu überprüfen. Weitere Informationen zu MBSA finden Sie auf der Microsoft Baseline Security Analyzer-Website.
Überprüfung des Registrierungsschlüssels
Möglicherweise können Sie auch die Dateien überprüfen, die dieses Sicherheitsupdate installiert hat, indem Sie den folgenden Registrierungsschlüssel überprüfen.
Für Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition, Windows XP Media Center Edition:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB914798\Filelist
Hinweis : Dieser Registrierungsschlüssel enthält möglicherweise keine vollständige Liste der installierten Dateien. Außerdem wird dieser Registrierungsschlüssel möglicherweise nicht ordnungsgemäß erstellt, wenn ein Administrator oder OEM das Sicherheitsupdate in die Quelldateien der Windows-Installation integriert oder einteilt.
Sonstige Informationen
Bestätigungen
Microsoft danke ihnen für die Zusammenarbeit mit uns, um Kunden zu schützen:
- Andres Tarasco der SIA-Gruppe für die Zusammenarbeit mit uns an zulässigen Windows Services DACLs könnte die Rechteerweiterung ermöglichen – CVE-2006-0023
Abrufen anderer Sicherheitsupdates:
Updates für andere Sicherheitsprobleme sind an den folgenden Speicherorten verfügbar:
- Sicherheitsupdates sind im Microsoft Download Center verfügbar. Sie können sie am einfachsten finden, indem Sie eine Schlüsselwort (keyword) Suche nach "security_patch" ausführen.
- Updates für Consumerplattformen sind auf der Microsoft Update-Website verfügbar.
Unterstützungswert:
- Kunden in den USA und Kanada können technischen Support von Microsoft Product Support Services bei 1-866-PCSAFETY erhalten. Es fallen keine Gebühren für Supportanrufe an, die Sicherheitsupdates zugeordnet sind.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Es gibt keine Kosten für Support, die Sicherheitsupdates zugeordnet sind. Weitere Informationen zum Kontaktieren von Microsoft für Supportprobleme finden Sie auf der Website für den internationalen Support.
Sicherheitsressourcen:
- Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
- Microsoft Software Update Services
- Microsoft Windows Server Update Services
- Microsoft Baseline Security Analyzer (MBSA)
- Windows Update
- Microsoft Update
- Windows Update-Katalog: Weitere Informationen zum Windows Update-Katalog finden Sie im Microsoft Knowledge Base-Artikel 323166.
- Office Update
Software Update Services:
Mithilfe von Microsoft Software Update Services (SUS) können Administratoren schnell und zuverlässig die neuesten kritischen Updates und Sicherheitsupdates auf Windows 2000- und Windows Server 2003-basierten Servern und Desktopsystemen bereitstellen, die Windows 2000 Professional oder Windows XP Professional ausführen.
Weitere Informationen zum Bereitstellen von Sicherheitsupdates mithilfe von Software Update Services finden Sie auf der Website "Software Update Services".
Windows Server Update Services:
Mithilfe von Windows Server Update Services (WSUS) können Administratoren die neuesten kritischen Updates und Sicherheitsupdates für Windows 2000-Betriebssysteme und höher, Office XP und höher, Exchange Server 2003 und SQL Server 2000 auf Windows 2000 und höher auf Windows 2000 und höher bereitstellen.
Weitere Informationen zum Bereitstellen von Sicherheitsupdates mit Windows Server Update Services finden Sie auf der Windows Server Update Services-Website.
Systems Management Server:
Microsoft Systems Management Server (SMS) bietet eine hochgradig konfigurierbare Unternehmenslösung zum Verwalten von Updates. Mithilfe von SMS können Administratoren Windows-basierte Systeme identifizieren, die Sicherheitsupdates erfordern, und die kontrollierte Bereitstellung dieser Updates im gesamten Unternehmen mit minimalen Unterbrechungen für Endbenutzer durchführen. Weitere Informationen dazu, wie Administratoren SMS 2003 zum Bereitstellen von Sicherheitsupdates verwenden können, finden Sie auf der Website SMS 2003 Security Patch Management. SMS 2.0-Benutzer können auch das Feature Pack für Softwareupdates verwenden, um Sicherheitsupdates bereitzustellen. Informationen zu SMS finden Sie auf der SMS-Website.
Hinweis SMS verwendet den Microsoft Baseline Security Analyzer, das Microsoft Office Detection Tool und das Enterprise Update Scanning Tool, um umfassende Unterstützung für die Erkennung und Bereitstellung von Sicherheitsupdates zu bieten. Einige Softwareupdates werden möglicherweise nicht von diesen Tools erkannt. Administratoren können die Bestandsfunktionen der SMS in diesen Fällen verwenden, um Updates auf bestimmte Systeme abzuzielen. Weitere Informationen zu diesem Verfahren finden Sie auf der folgenden Website. Einige Sicherheitsupdates erfordern administratorrechtliche Rechte nach einem Neustart des Systems. Administratoren können das Bereitstellungstool für erhöhte Rechte (verfügbar im SMS 2003 Administration Feature Pack und im SMS 2.0 Administration Feature Pack) verwenden, um diese Updates zu installieren.
Haftungsausschluss:
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen:
- V1.0 März 14, 2006: Bulletin veröffentlicht.
- V1.1. März 17, 2006: Für Windows Server 2003 wurde der Abschnitt zur Dateiüberprüfung aktualisiert, um den entsprechenden Registrierungsschlüssel für die Dateierkennung widerzuspiegeln.
- V2.0. Juni 13, 2006: Dieses Update wurde überarbeitet, um aktualisierte Registrierungsschlüsselwerte für die NetBT-, RemoteAccess- und TCPIP-Dienste einzuschließen. Diese Werte wurden so geändert, dass sie mit Windows XP Service Pack 2 auf Windows XP Service Pack 1-Systemen identisch sind, und identisch mit Windows 2003 Service Pack 1 auf Windows 2003-Systemen ohne Service Pack. Kunden werden aufgefordert, dieses überarbeitete Update für zusätzliche Sicherheit von Rechteerweiterungen über diese Dienste anzuwenden, wie im Abschnitt "Sicherheitsrisikendetails" dieses Sicherheitsbulletins beschrieben.
- V2.1. Juni 14, 2006: Bulletin Updated to clarify that Windows 2003 systems with no service pack applied are not affected by the June 13, 2006 reissue.
Gebaut am 2014-04-18T13:49:36Z-07:00