Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2868725

Update zum Deaktivieren von RC4

Veröffentlicht: Dienstag, 12. November 2013

Version: 1.0

Allgemeine Informationen

Kurzzusammenfassung

Hiermit kündigt Microsoft die Verfügbarkeit eines Updates für unterstützte Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT an, um bekannte Schwachstellen in RC4 zu beheben. Das Update unterstützt das Entfernen von RC4 als verfügbare Ziffer auf betroffenen Systemen durch Registrierungseinstellungen. Es ermöglicht Entwicklern außerdem, RC4 durch die Verwendung des Kennzeichens SCH_USE_STRONG_CRYPTO in der Struktur SCHANNEL_CRED aus einzelnen Anwendungen zu entfernen. Diese Optionen sind nicht standardmäßig aktiviert.

Empfehlung. Microsoft empfiehlt Benutzern, das Update sofort herunterzuladen und zu installieren und anschließend die neuen Einstellungen in ihren Umgebungen zu testen. Weitere Informationen finden Sie in dem Abschnitt Empfohlene Maßnahmen in dieser Empfehlung.

Details der Empfehlung

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

VerweiseIdentifizierung
Microsoft Knowledge Base-Artikel 2868725

Betroffene Software

Diese Empfehlung betrifft die folgende Software.

Betriebssystem
Windows 7 für 32-Bit-Systeme Service Pack 1
Windows 7 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
Windows 8 für 32-Bit-Systeme
Windows 8 für x64-basierte Systeme
Windows Server 2012
Windows RT
Server Core-Installationsoption
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)
Windows Server 2012 (Server Core-Installation)

Trifft dieses Update auf Windows 8.1, Windows Server 2012 R2 oder Windows RT 8.1 zu?
Nein. Dieses Update gilt nicht für Windows 8.1, Windows Server 2012 R2 oder Windows RT 8.1, weil diese Betriebssysteme bereits die Funktion beinhalten, die Verwendung von RC4 einzuschränken.

Was genau umfasst diese Empfehlung?
Mit dieser Empfehlung sollen Benutzer darüber benachrichtigt werden, dass ein Update für unterstützte Editionen von Windows, Windows 7, Windows Server 2008 R2, Windows 8 und Windows Server 2012 verfügbar ist, mit dem zusätzliche Optionen zum Einschränken die Verwendung von RC4 bereitgestellt werden. Durch die Verwendung von RC4 in TLS und SSL kann Angreifer Man-in-the-Middle-Angriffe durchführen und Klartext von verschlüsselten Sitzungen wiederherstellen.

Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern durch den Computer des Angreifers umleitet, ohne dass die beiden kommunizierenden Benutzer davon wissen. Jeder Benutzer in der Kommunikation sendet unbewusst Datenverkehr an den Angreifer und erhält Datenverkehr von diesem, während er die ganze Zeit denkt, nur mit dem beabsichtigten Benutzer zu kommunizieren.

Was bewirkt das Update 2868725?
Das Update unterstützt das Entfernen von RC4 als verfügbare Ziffer auf betroffenen Systemen durch Registrierungseinstellungen. Es ermöglicht Entwicklern außerdem, RC4 durch die Verwendung des Kennzeichens SCH_USE_STRONG_CRYPTO in der Struktur SCHANNEL_CRED aus einzelnen Anwendungen zu entfernen. Diese Optionen sind nicht standardmäßig aktiviert. Microsoft empfiehlt Benutzern, alle neuen Einstellungen zum Deaktivieren von RC4 zu testen, bevor sie sie in ihren Umgebungen implementieren.

Wirkt sich das Update auf die Benutzerfreundlichkeit von Internet Explorer oder anderen mitgelieferten Anwendungen auswirken?
Nein. Die Änderungen, die durch das Update implementiert werden, sind für den Benutzer transparent und wirken sich nicht auf die Benutzerfreundlichkeit von Internet Explorer oder anderen mitgelieferten Anwendungen aus. Es ist jedoch möglich, dass folgende Änderungen an den Einstellungen zum Deaktivieren von RC4 sich auf die Benutzerfreundlichkeit von Internet Explorer oder anderen Anwendungen auswirken können, die TLS verwenden. Aus diesem Grund wird Benutzern dringend empfohlen, alle neuen Einstellungen gründlich zu testen, die sich auf das Deaktivieren von RC4 beziehen.

Wie bereite ich für diese Veröffentlichung vor?
Im Abschnitt Empfohlene Maßnahmen dieser Empfehlung finden Sie eine Liste von Aktionen, die als Vorbereitung auf die Bereitstellung dieses Updates durchzuführen sind.

Was ist Schannel?
Secure Channel (sicherer Kanal), auch Schannel genannt, ist ein SSP (Security Support Provider), der einen Satz von Sicherheitsprotokollen enthält, die Identitätsauthentifizierung und sichere, private Kommunikation durch Verschlüsselung bereitstellen. Schannel wird hauptsächlich für Internet-Anwendungen verwendet, deren Kommunikation über ein sicheres Hypertext Transfer Protocol (HTTP) erfolgen muss. Weitere Informationen finden Sie in Secure Channel (Englisch).

Was ist TLS?
TLS (Transport Layer Security) ist ein Standardprotokoll, mit dem eine sichere Internetkommunikation im Internet oder Intranet bereitgestellt wird. Es ermöglicht Clients, Server zu authentifizieren, und optional auch Servern, Clients zu authentifizieren. Des Weiteren wird damit ein sicherer bereitgestellt, indem die Kommunikation verschlüsselt wird. TLS ist die aktuelle Version des Protokolls SSL (Secure Sockets Layer).

Was ist RC4?
RC4 ist eine Stromchiffre, die sowohl bei der Verschlüsselung als auch bei der Entschlüsselung verwendet wird.

Installieren des Updates f ür betroffene Versionen von Microsoft Windows

Die Mehrheit der Benutzer hat die automatische Aktualisierung aktiviert und muss keine Maßnahmen ergreifen, da das Update 2868725 automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und für Installationen in Unternehmen bzw. für Endbenutzer, die das Update 2868725 manuell installieren möchten, empfiehlt Microsoft, das Update sofort mit Updateverwaltungssoftware zu installieren bzw. mithilfe des Dienstes Microsoft Update auf Updates zu prüfen. Weitere Informationen zum manuellen Installieren des Updates finden Sie im Microsoft Knowledge Base-Artikel 2868725.

Testen Sie neue Einstellungen gründlich, bevor Sie sie in Ihrer Umgebung implementieren

Nach der Installation des Updates empfiehlt Microsoft Benutzern, alle neuen Einstellungen zum Deaktivieren von RC4 zu testen, bevor sie sie in ihren Umgebungen implementieren. Werden die neuen Einstellungen nicht getestet, können diese die Benutzerfreundlichkeit von Internet Explorer oder anderen Anwendungen beeinträchtigen, die TLS verwenden.

Weitere Informationen:

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (12. November 2013): Die Empfehlung wurde veröffentlicht.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft