Poradce pro zabezpečení
Poradce microsoftu pro zabezpečení 974926
Útoky na předávání přihlašovacích údajů na integrované ověřování systému Windows
Publikováno: 8. prosince 2009
Verze: 1.0
Tento poradce řeší potenciál útoků, které ovlivňují zpracování přihlašovacích údajů pomocí integrovaného ověřování systému Windows (IWA) a mechanismy, které společnost Microsoft zpřístupnila zákazníkům, aby pomohli chránit před těmito útoky.
V těchto útocích by útočník, který může získat přihlašovací údaje uživatele při přenosu mezi klientem a serverem, mohl tyto přihlašovací údaje odrážet zpět do služby spuštěné na klientovi nebo je předat jinému serveru, na kterém má klient platný účet. To by útočníkovi umožnilo získat přístup k těmto prostředkům a zosobnit klienta. Vzhledem k tomu, že jsou přihlašovací údaje IWA zatěžovány, útočník ho nemůže použít ke zjištění skutečného uživatelského jména a hesla.
V závislosti na scénáři a použití dalších vektorů útoku může útočník získat přihlašovací údaje pro ověřování uvnitř i mimo hraniční síť organizace a využít je k získání nevhodného přístupu k prostředkům.
Microsoft řeší potenciální dopad těchto problémů na různých úrovních a chce zákazníkům informovat o nástrojích, které byly zpřístupněny k řešení těchto problémů, a dopad používání těchto nástrojů. Tento poradce obsahuje informace o různých akcích, které Microsoft provedl pro zlepšení ochrany přihlašovacích údajů ověřování IWA a o tom, jak mohou zákazníci nasadit tato bezpečnostní opatření.
Zmírňující faktory:
- Aby bylo možné předávat přihlašovací údaje, útočník by potřeboval úspěšně využít další chybu zabezpečení k provedení útoku man-in-the-middle, nebo přesvědčit oběť, pomocí sociálního inženýrství, připojit se k serveru pod kontrolou útočníka, například odesláním odkazu do škodlivé e-mailové zprávy.
- Aplikace Internet Explorer automaticky neodesílá přihlašovací údaje pomocí protokolu HTTP na servery hostované v zóně Internetu. Tím se snižuje riziko, že je možné přihlašovací údaje předat nebo promítnout útočníkem v této zóně.
- Příchozí provoz musí být povolený do klientského systému, aby byl útok reflexe úspěšný. Nejběžnější vektor útoku je SMB, protože umožňuje ověřování IWA. Hostitelé za bránou firewall, která blokuje provoz SMB nebo hostitele blokující provoz SMB v bráně firewall hostitele, nejsou ohroženy nejběžnějšími útoky na reflexi PROTOKOLU NTLM, které cílí na protokol SMB.
Obecné informace
Přehled
Účel rady: Objasnění akcí, které Společnost Microsoft provádí za účelem rozšíření ochrany přihlašovacích údajů uživatele při použití integrovaného ověřování systému Windows (IWA).
Stav poradce: Poradce publikováno.
Doporučení: Zkontrolujte navrhované akce a podle potřeby nakonfigurujte.
| Reference | Identifikace |
|---|---|
| Článek znalostní báze Microsoft Knowledge Base | 974926 |
Tento poradce popisuje následující software.
| Ovlivněný software |
|---|
| Windows XP Service Pack 2 a Windows XP Service Pack 3 |
| Windows XP pro systémy s platformou x64 Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 pro systémy založené na platformě x64 Service Pack 2 |
| Windows Server 2003 pro počítače s procesorem Itanium Service Pack 2 |
| Windows Vista, Windows Vista Service Pack 1 a Windows Vista Service Pack 2 |
| Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 a Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 pro 32bitové systémy a Windows Server 2008 pro 32bitové systémy Service Pack 2 |
| Windows Server 2008 pro systémy x64 a Windows Server 2008 pro systémy x64 Service Pack 2 |
| Windows Server 2008 pro počítače s procesorem Itanium a Windows Server 2008 pro počítače s procesorem Itanium Service Pack 2 |
| Windows 7 pro 32bitové systémy* |
| Windows 7 pro systémy založené na platformě x64* |
| Windows Server 2008 R2 pro systémy s platformou x64* |
| Windows Server 2008 R2 pro počítače s procesorem Itanium* |
*Windows 7 a Windows Server 2008 R2 poskytují rozšířenou ochranu pro ověřování jako funkci rozhraní SSPI (Security Support Provider Interface). Aplikace spuštěné v těchto operačních systémech můžou být stále vystavené předávání přihlašovacích údajů, pokud operační systém nebo aplikace není nakonfigurovaná tak, aby tuto funkci podporovala. Rozšířená ochrana pro ověřování není ve výchozím nastavení povolená.
Nejčastější dotazy
Jaký je rozsah poradenství?
Tento poradce pro zabezpečení poskytuje komplexní přehled o strategii, kterou Microsoft používá k ochraně před předáváním přihlašovacích údajů. Poskytuje přehled aktuálně dostupných aktualizací, které tento problém řeší komplexně.
Co způsobuje tuto hrozbu?
Tento poradce řeší potenciál pro předávání ověřování. K těmto útokům dochází, když útočník úspěšně získá ověřovací přihlašovací údaje, například prostřednictvím útoku man-in-the-middle, nebo přesvědčivým uživatelem, aby klikl na odkaz. Tento odkaz může způsobit, že klient bude mít přístup ke službě řízené útočníkem, která požádá uživatele o ověření pomocí IWA.
Formy předávání přihlašovacích údajů uvedené v tomto poradci jsou:
- Předávání přihlašovacích údajů: Přihlašovací údaje domény získané útočníkem je možné použít k přihlášení k jiným službám, ke kterým je oběť známo, že má přístup. Útočník pak může získat oprávnění stejná jako u oběti v cílové službě.
- Reflexe přihlašovacích údajů: Přihlašovací údaje domény získané útočníkem je možné použít k přihlášení k počítači oběti. Útočník pak získá oprávnění na daném počítači, který je stejný jako ten, který je obětí.
Aby mohly tyto útoky proběhnout úspěšně, vyžaduje útočník, aby se uživatel připojil k serveru útočníka. Toho lze dosáhnout útoky, které zahrnují přítomnost útočníka v místní síti, jako je například otrava mezipamětí protokolu ARP (Address Resolution Protocol).
Dopad těchto útoků se zvyšuje, když útočník přesvědčí uživatele, aby se připojil k serveru mimo hranici organizace. Konkrétní scénáře, které to mohou umožnit, jsou následující:
- Devolution DNS, funkce klienta DNS systému Windows, která umožňuje klientům DNS systému Windows překládat dotazy DNS na nekvalifikované názvy hostitelů s jedním popiskem. Uživatel se zlými úmysly může zaregistrovat konkrétní název hostitele mimo hranici organizace, že pokud jsou klienti nesprávně nakonfigurovaní, může být neúmyslně kontaktován klientem, když se při pokusu o přístup k názvu hostitele nechtěně obrátí mimo hranice organizace.
- Falšování identity DNS, kdy by útočník mohl zneužít chyby zabezpečení systému Windows Domain Name System (DNS), což umožňuje falšování identity. Tyto útoky by mohly umožnit vzdálenému útočníkovi přesměrovat síťový provoz určený pro systémy na internetu do systému útočníka.
- Falšování identity služby NetBIOS Name Service (NBNS), kdy uživatel, který je ulákaný ke spuštění speciálně vytvořeného apletu aktivního kódu (například Java nebo Flash), který by inicioval dotaz na místní název hostitele, a následně zavádí falšované odpovědi NBNS klientovi se vzdálenou IP adresou. Při připojování k tomuto názvu hostitele by klient zvážil místní počítač a pokusil se o přihlašovací údaje IWA, čímž by je zpřístupňuje vzdálenému útočníkovi;
Společnost Microsoft vydala několik aktualizací, které vám pomůžou tyto scénáře vyřešit, a cílem tohoto poradenství je shrnout, jak můžou zákazníci nejlépe vyhodnotit rizika a problémy ve svém konkrétním scénáři nasazení.
Co je integrované ověřování systému Windows (IWA)?
S integrovaným ověřováním systému Windows (dříve označovaným jako NTLM a také označovaným jako systém Windows NT ověřování výzvy a odpovědi) se uživatelské jméno a heslo (přihlašovací údaje) před odesláním přes síť zatřiďují. Když povolíte integrované ověřování systému Windows, klient prokáže své znalosti hesla prostřednictvím hashované kryptografické výměny s vaším webovým serverem. Integrované ověřování systému Windows zahrnuje metody ověřování Negotiate, Kerberos a NTLM.
Co je útok typu man-in-the-middle?
Útok typu man-in-the-middle nastane, když útočník přesměruje komunikaci mezi dvěma uživateli prostřednictvím počítače útočníka bez znalosti dvou komunikujících uživatelů. Útočník může monitorovat a číst provoz před odesláním zamýšlenému příjemci. Každý uživatel v komunikaci neúmyslně odesílá provoz a přijímá provoz od útočníka, a přitom si myslí, že komunikuje pouze s zamýšlenou stranou.
Jaké akce Microsoft provedl k řešení útoků na falšování identity DNS?
Společnost Microsoft vydala následující bulletiny zabezpečení pro řešení útoků falšování identity DNS:
- MS08-037 řeší dvě ohrožení zabezpečení, která by mohla útočníkovi umožnit falšování záznamů DNS a jejich vložení do mezipaměti serveru DNS.
- MS09-008 řeší dvě ohrožení zabezpečení, která by mohla útočníkovi umožnit falšování záznamů DNS a jejich vložení do mezipaměti serveru DNS, a dvě chyby zabezpečení, které by útočníkovi mohly umožnit škodlivou registraci názvů hostitelů souvisejících se síťovou infrastrukturou (WPAD a ISATAP), které by bylo možné použít k dalším útokům.
Jaké akce Microsoft provedl k řešení útoků falšování identity v NBNS?
Společnost Microsoft pracovala s dodavateli třetích stran, kteří jsou touto chybou zabezpečení ovlivněni, a implementovali omezení rizik proti tomuto vektoru útoku. Tento problém byl vyřešen v aplikaci Adobe Flash Player v bulletinu zabezpečení Společnosti Adobe APSB08-11 a v prostředí Sun Java Runtime environment in Sun Alert 103079.
Co je otrava mezipamětí protokolu ARP (Address Resolution Protocol)?
Otrava mezipamětí protokolu ARP je útok, který se skládá z počítače útočníka, který se nachází ve stejné podsíti jako oběť, odesílání falšovaných nebo nepovolených odpovědí protokolu ARP. Obvykle se pokusíte zmást klienty, aby věřili, že útočník je výchozí bránou v síti, a výsledkem je, že počítač oběti odesílá informace útočníkovi, a ne bráně. Takový útok se může využít k nastavení útoku man-in-the-middle.
Co je tls (Transport Layer Security)?
Protokol HANDShake (Transport Layer Security) zodpovídá za ověřování a výměnu klíčů, které jsou nezbytné k navázání nebo obnovení zabezpečených relací. Při vytváření zabezpečené relace spravuje protokol Handshake následující:
- Vyjednávání šifrovací sady
- Ověřování serveru a volitelně i klienta
- Výměna informací o klíči relace
Další informace najdete v článku TechNet, jak funguje TLS/SSL.
K jakým verzím Windows jsou přidruženy tyto rady?
Předávání přihlašovacích údajů a reflexe ovlivňuje všechny platformy, které mají schopnost provádět integrované ověřování systému Windows. Funkce Rozšířené ochrany pro ověřování je součástí systémů Windows 7 a Windows Server 2008 R2 a byla zpřístupněna pro systémy Windows XP, Windows Server 2003, Windows Vista a Windows Server 2008 v aktualizaci nesouvisecí se zabezpečením vydané jako poradce pro zabezpečení společnosti Microsoft 973811. Aby bylo možné plně chránit přihlašovací údaje pro ověřování, musí se ke mechanismu přihlásit konkrétní aplikace v těchto operačních systémech. Funkce Rozšířené ochrany není k dispozici pro operační systém Microsoft Windows 2000.
Jaké akce Microsoft provedl k řešení útoků na reflexi přihlašovacích údajů?
Aplikace jsou chráněné proti útokům na reflexi přihlašovacích údajů, pokud při ověřování ve službě správně využívají hlavní název služby (SPN).
Před zveřejněním tohoto poradce pro zabezpečení společnost Microsoft vydala následující aktualizace zabezpečení, aby se zajistilo, že součásti systému Windows a aplikace společnosti Microsoft správně přihlásí k tomuto mechanismu, aby poskytovaly ochranu před útoky na reflexi přihlašovacích údajů:
- Bulletin zabezpečení společnosti Microsoft MS08-068 řeší reflexi přihlašovacích údajů při připojování k serveru SMB útočníka.
- Bulletin zabezpečení společnosti Microsoft MS08-076 řeší reflexi přihlašovacích údajů při připojování k serveru Windows Media útočníka.
- Bulletin zabezpečení společnosti Microsoft MS09-013 řeší reflexi přihlašovacích údajů při připojování k webovému serveru útočníka pomocí aplikačního programovacího rozhraní WinHTTP.
- Bulletin zabezpečení společnosti Microsoft MS09-014 řeší reflexi přihlašovacích údajů při připojování k webovému serveru útočníka pomocí aplikačního programovacího rozhraní WinINET.
- Bulletin zabezpečení společnosti Microsoft MS09-042 řeší reflexi přihlašovacích údajů při připojování k serveru telnet útočníka.
Jaké akce Microsoft provedl k řešení útoků na předávání přihlašovacích údajů?
Některá ochrana před předáváním přihlašovacích údajů poskytuje rozhraní SSPI (Zabezpečení Windows Support Provider Interface). Toto rozhraní je implementováno v systémech Windows 7 a Windows Server 2008 R2 a byl zpřístupněn jako aktualizace nesouvisecí se zabezpečením pro systémy Windows XP, Windows Server 2003, Windows Vista a Windows Server 2008.
Aby bylo možné chránit, je potřeba nasadit další aktualizace nesouvisecí se zabezpečením, aby se zajistila stejná ochrana pro konkrétní součásti klienta a serverové součásti a aplikace. Tato funkce používá změny ověřování na straně klienta i serveru a měla by být nasazena pečlivě. Další informace o rozšířené ochraně pro ověřování a aktualizace nesouvisecí se zabezpečením vydané pro implementaci tohoto mechanismu najdete v informačním zpravodaji zabezpečení společnosti Microsoft 973811.
Jak tyto aktualizace řeší útoky na předávání přihlašovacích údajů?
Aktualizace SSPI, která není zabezpečením, 973811 poradce microsoftu pro zabezpečení upraví SSPI, aby rozšířil aktuální mechanismus integrovaného ověřování systému Windows (IWA), aby žádosti o ověření mohly být vázány na hlavní název služby (SPN) serveru, ke kterému se klient pokouší připojit, i k vnějšímu kanálu TLS (Transport Layer Security), přes který probíhá ověřování IWA, pokud takový kanál existuje. Jedná se o základní aktualizaci, která neřeší ohrožení zabezpečení sama o sobě, ale nasadí ji jako volitelnou funkci, kterou můžou dodavatelé aplikací nakonfigurovat.
Aktualizace zabezpečení specifické pro aplikaci upravují jednotlivé systémové komponenty, které provádějí ověřování IWA, aby se komponenty přihlásily k mechanismům ochrany implementovaným aktualizací zabezpečení vrstvy 1. Další informace o povolení rozšířené ochrany pro ověřování najdete v informačním zpravodaji zabezpečení společnosti Microsoft 973811 a odpovídajícím článku znalostní báze Microsoft Knowledge Base 973811.
Jaké akce Microsoft provedl k řešení devoluce DNS?
Devolution DNS se dá použít jako vektor útoku, který tuto chybu zabezpečení zneužije mimo podnikovou síť. Devolution je funkce klienta DNS systému Windows, pomocí které klienti DNS systému Windows přeloží dotazy DNS na nekvalifikované názvy hostitelů s jedním popiskem. Dotazy se vytvářejí připojením primární přípony DNS (PDS) k názvu hostitele. Dotaz se opakuje tak, že systematicky odebere popisek nejvíce vlevo v pds, dokud se nepřeloží název hostitele a zbývající pdS, nebo v pruhovaném souboru PDS zůstanou pouze dva popisky. Například klienti Windows, kteří hledají v doméně western.corp.contoso.co.us "Single-label", budou postupně dotazovat Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us a pak Single-label.co.us, dokud nenajde systém, který se vyřeší. Tento proces se označuje jako devolution.
Útočník může hostovat systém s názvem s jedním popiskem mimo hranice organizace a kvůli devoluci DNS se k němu může úspěšně připojit klient DNS systému Windows, jako by byl uvnitř hranice organizace. Pokud je například přípona DNS podniku corp.contoso.co.us a pokusí se přeložit nekvalifikovaný název hostitele "Single-Label", překladač DNS se pokusí Single-Label.corp.contoso.co.us. Pokud se tento problém nenajde, zkusí se to prostřednictvím devolution DNS přeložit Single-label.contoso.co.us. Pokud se tento problém nenajde, pokusí se přeložit Single-label.co.us, který je mimo doménu contoso.co.us. Tento proces se označuje jako devolution.
Například pokud je tento název hostitele WPAD, útočník, který nastaví WPAD.co.us může poskytnout škodlivý soubor automatického zjišťování webového proxy serveru pro konfiguraci nastavení proxy klienta.
Společnost Microsoft vydala poradce pro zabezpečení 971888 a přidruženou aktualizaci, která organizacím poskytuje podrobnější kontrolu nad tím, jak klienti Systému Windows provádějí vývoj dns. Tato aktualizace umožňuje organizaci zabránit tomu, aby se klienti mohli vyvíjet mimo hranice organizace.
Co můžou vývojáři třetích stran dělat, aby pomohli řešit předávání přihlašovacích údajů?
Vývojáři třetích stran by měli zvážit implementaci rozšířené ochrany pro ověřování tím, že se přihlásí k tomuto novému mechanismu ochrany popsanému v informačním zpravodaji zabezpečení společnosti Microsoft 973811.
Další informace o tom, jak se můžou vývojáři přihlásit k tomuto mechanismu, najdete v článku MSDN integrované ověřování systému Windows s rozšířenou ochranou.
Co je hlavní název služby (SPN)?
Hlavní název služby (SPN) je název, kterým klient jednoznačně identifikuje instanci služby. Pokud nainstalujete více instancí služby do počítačů v síti, každá instance musí mít vlastní hlavní název služby (SPN). Daná instance služby může mít více hlavních názvů služeb, pokud existuje více názvů, které mohou klienti použít k ověřování. Hlavní název služby (SPN) například vždy obsahuje název hostitelského počítače, na kterém je spuštěná instance služby, takže instance služby může zaregistrovat hlavní název služby pro každý název nebo alias svého hostitele.
Navrhované akce
- Projděte siinformační zpravodaj zabezpečení společnosti Microsoft 973811, rozšířenou ochranu pro ověřování a implementujte přidružené aktualizace.
Tento poradce pro zabezpečení oznamuje vydání aktualizací nesouvisecích se zabezpečením, které implementují rozšířenou ochranu pro ověřování. Tato funkce pomáhá chránit pokusy o ověřování před útoky na předávání. - Projděte siporadce microsoftu pro zabezpečení 971888, aktualizace pro devolution DNS.
Tento poradce pro zabezpečení oznamuje vydání volitelné aktualizace nesouvisecí se zabezpečením, která správcům systému umožňuje konfigurovat vývoj DNS s větší specificitou. - Projděte si článek znalostní báze Microsoft Knowledge Base přidružený k tomuto poradci.
Zákazníci, kteří se zajímají o další informace o tomto poradci zabezpečení, by si měli projít článek znalostní báze Microsoft Knowledge Base 974926. - Ochrana počítače
Nadále doporučujeme zákazníkům postupovat podle našich pokynů k ochraně počítače při povolování brány firewall, získávání aktualizací softwaru a instalaci antivirového softwaru. Další informace o těchto krocích můžou zákazníci získat v části Ochrana počítače. - Další informace o tom, jak zůstat v bezpečí na internetu, by zákazníci měli navštívit Microsoft Security Central.
- Zachovat služba Windows Update d
Všichni uživatelé Systému Windows by měli použít nejnovější aktualizace zabezpečení společnosti Microsoft, aby zajistili, že jsou jejich počítače co nejvíce chráněné. Pokud si nejste jistí, jestli je váš software aktuální, navštivte služba Windows Update, vyhledejte v počítači dostupné aktualizace a nainstalujte všechny nabízené aktualizace s vysokou prioritou. Pokud máte povolenou automatickou Aktualizace, aktualizace se vám po vydání doručí, ale musíte je nainstalovat.
Alternativní řešení
Existuje řada alternativních řešení, která pomáhají chránit systémy před reflexí přihlašovacích údajů nebo útoky na předávání přihlašovacích údajů. Microsoft otestoval následující alternativní řešení. I když tato alternativní řešení neopraví základní ohrožení zabezpečení, pomáhají blokovat známé vektory útoku. Pokud alternativní řešení snižuje funkčnost, je popsáno v následující části.
Blokování portů TCP 139 a 445 v bráně firewall
V případě útoků na reflexi přihlašovacích údajů jsou příchozí připojení využívající předávané přihlašovací údaje s největší pravděpodobností přes služby SMB nebo RPC. Blokování portů TCP 139 a 445 v bráně firewall pomůže chránit systémy, které jsou za touto bránou firewall, před pokusy o zneužití této chyby zabezpečení. Společnost Microsoft doporučuje blokovat veškerou nevyžádanou příchozí komunikaci z internetu, aby se zabránilo útokům, které mohou používat jiné porty. Další informace o portech naleznete v tématu Přiřazení portů TCP a UDP.
Dopad alternativního řešení: Ovlivněné porty používají několik služeb Systému Windows. Blokování připojení k portům může způsobit, že různé aplikace nebo služby nebudou fungovat. Některé aplikace nebo služby, které by mohly být ovlivněny, jsou uvedené níže:
- Aplikace používající protokol SMB (CIFS)
- Aplikace, které používají poštovní lístky nebo pojmenované kanály (RPC přes PROTOKOL SMB)
- Server (sdílení souborů a tisku)
- Zásady skupiny
- Přihlašování
- Systém distribuovaných souborů (DFS)
- Licencování terminálového serveru
- Služba zařazování tisku
- Prohlížeč počítačů
- Lokátor volání vzdálené procedury
- Faxová služba
- Služba indexování
- Protokoly výkonu a upozornění
- Server pro správu systémů
- Služba protokolování licencí
Povolení podepisování SMB
Povolení podepisování protokolu SMB zabrání útočníkovi v provádění kódu v kontextu přihlášeného uživatele. Podepisování smb poskytuje vzájemné ověřování a ověřování zpráv umístěním digitálního podpisu do každého protokolu SMB, který je následně ověřen klientem i serverem. Microsoft doporučuje ke konfiguraci podepisování SMB používat zásady skupiny.
Podrobné pokyny k povolení a zakázání podepisování protokolu SMB pro systém Microsoft Windows 2000, Windows XP a Windows Server 2003 naleznete v článku znalostní báze Microsoft Knowledge Base 887429. Pokyny v článku znalostní báze Microsoft Knowledge Base 887429 pro systém Windows XP a Windows Server 2003 platí také pro systémy Windows Vista a Windows Server 2008.
Dopad alternativního řešení: Použití podepisování paketů SMB může snížit výkon transakcí souborové služby. Počítače, které mají tuto sadu zásad, nebudou komunikovat s počítači, které nemají povolené podepisování paketů na straně klienta. Další informace o podepisování smb a potenciálních dopadech najdete na síťovém serveru Microsoftu: Digitálně podepsat komunikaci (vždy).
Další informace
Zdroje:
- Svůj názor můžete poskytnout vyplněním formuláře tak, že navštívíte nápovědu a podporu Microsoftu: Kontaktujte nás.
- Zákazníci v USA a Kanadě můžou získat technickou podporu od podpory zabezpečení. Další informace o dostupných možnostech podpory najdete v nápovědě a podpoře společnosti Microsoft.
- Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace o tom, jak kontaktovat Microsoft o problémech s mezinárodní podporou, najdete v tématu Mezinárodní podpora.
- Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Microsoftu.
Právní omezení:
Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize:
- V1.0 (8. prosince 2009): Poradce publikováno.
Postaveno v 2014-04-18T13:49:36Z-07:00