Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2871997

Update zum Verbessern des Schutzes und der Verwaltung von Anmeldeinformationen

Veröffentlicht: 13. Mai 2014 | Aktualisiert: 14. Oktober 2014

Version: 4.0

Allgemeine Informationen

Kurzzusammenfassung

Microsoft kündigt die Verfügbarkeit von Updates für unterstützte Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 an, mit denen die Schutzmechanismen für Anmeldeinformationen und die Steuerelemente für die Domänenauthentifizierung verbessert werden, um den Diebstahl von Anmeldeinformationen zu verringern.

Empfehlung. Microsoft empfiehlt Endbenutzern, diese Updates umgehend mit Updateverwaltungssoftware zu installieren bzw. mithilfe des Dienstes Microsoft Update auf Updates zu prüfen. Diese Updates können in beliebiger Reihenfolge installiert werden.

  • Am 13. Mai 2014 veröffentlichte Microsoft das Update 2871997 für alle unterstützten Editionen von Windows 8, Windows RT, Windows Server 2012, Windows 7 und Windows Server 2008 R2, mit dem die Schutzmechanismen für Anmeldeinformationen und die Steuerelemente für die Domänenauthentifizierung verbessert werden, um den Diebstahl von Anmeldeinformationen zu verringern. Dieses Update bietet zusätzlichen Schutz für die lokale Sicherheitsautorität (LSA), fügt dem CredSSP (Credential Security Support Provider) einen eingeschränkten Administratormodus hinzu, führt Unterstützung für die geschützte, kontenbeschränkte Domänenbenutzerkategorie ein und setzt bei Clientcomputern mit Windows 7, Windows Server 2008 R2, Windows 8 und Windows Server 2012 strengere Authentifizierungsrichtlinien durch. Weitere Informationen zu diesem Update und Downloadadressen finden Sie im Microsoft Knowledge Base-Artikel 2871997.
    Dn690109.note(de-DE,Security.10).gifHinweis:
    Hinweis: Unterstützte Editionen von Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 enthalten diese Funktionen bereits und benötigen das Update 2871997 nicht.

  • Am 8. Juli 2014 veröffentlichte Microsoft das Update 2973351 für unterstützte Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT sowie für alle unterstützten Editionen von Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1, unter denen das Update 2919355 (Windows 8.1-Update) installiert ist. Microsoft hat das Update 2975625 für alle unterstützten Editionen von Windows 8.1 und Windows Server 2012 R2 veröffentlicht, unter denen das Update 2919355 (Windows 8.1-Update) nicht installiert ist. Das Update bietet konfigurierbare Registrierungseinstellungen zum Verwalten des eingeschränkten Administratormodus für CredSSP (Credential Security Support Provider). Weitere Informationen zu diesem Update, einschließlich Download-Adressen, finden Sie im Microsoft Knowledge Base-Artikel 2973351 und Microsoft Knowledge Base-Artikel 2975625.
    Dn690109.note(de-DE,Security.10).gifHinweis:
    Hinweis. Das Update ändert die standardmäßige Funktion des eingeschränkten Administratormodus für Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1. Weitere Informationen finden Sie in den Häufig gestellten Fragen (FAQs) zu dieser Sicherheitsempfehlung.

  • Am 9. September 2014 hat Microsoft das Update 2982378 für unterstützte Editionen von Windows 7 und Windows Server 2008 R2 veröffentlicht. Das Update fügt zusätzlichen Schutz für Anmeldeinformationen von Benutzern hinzu, wenn diese sich bei einem System mit Windows 7 oder Windows Server 2008 R2 anmelden, indem sichergestellt wird, dass Anmeldeinformationen sofort bereinigt werden, anstatt abzuwarten, bis ein Kerberos-TGT (Ticket Granting Ticket) bezogen wurde. Weitere Informationen zu diesem Update und Downloadadressen finden Sie im Microsoft Knowledge Base-Artikel 2982378.

     

  • Am 14. Oktober 2014 hat Microsoft die folgenden Updates veröffentlicht. Die entsprechenden Updates fügen der Remotedesktopverbindung und Remotedesktopprotokoll einen eingeschränkten Administratormodus hinzu:
    • 2984972 für unterstützte Editionen von Windows 7 und Windows Server 2008 R2
    • 2984976 für unterstützte Editionen von Windows 7 und Windows Server 2008 R2, bei denen das Update 2592687 (RDP-8.0-Update (Remotedesktopprotokoll)) installiert ist. Endbenutzer, die das Update 2984976 installieren, müssen auch das Update 2984972 installieren.
    • 2984981 für unterstützte Editionen von Windows 7 und Windows Server 2008 R2, bei denen das Update 2830477 (RDC 8.1-Clientupdate (Remotedesktopverbindung)) installiert ist. Endbenutzer, die das Update 2984981 installieren, müssen auch das Update 2984972 installieren.
    • 2973501 für alle unterstützten Editionen von Windows 8, Windows Server 2012 und Windows RT.
      Dn690109.note(de-DE,Security.10).gifHinweis:
      Hinweis: Unterstützte Editionen von Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 enthalten diese Funktion bereits und benötigen dieses Update nicht.

Diese Empfehlung betrifft die folgende Software.

Betriebssystem

Windows 7 für 32-Bit-Systeme Service Pack 1

Windows 7 für x64-basierte Systeme Service Pack 1

Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1

Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1

Windows 8 für 32-Bit-Systeme

Windows 8 für x64-basierte Systeme

Windows 8.1 für 32-Bit-Systeme

Windows 8.1 für x64-basierte Systeme

Windows Server 2012

Windows Server 2012 R2

Windows RT

Windows RT 8.1

Server Core-Installationsoption

Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)

Windows Server 2012 (Server Core-Installation)

Windows Server 2012 R2 (Server Core-Installation)

 

Was genau umfasst diese Empfehlung? 
Mit dieser Empfehlung sollen Benutzer darüber benachrichtigt werden, dass Updates für Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 verfügbar sind, die zusätzlichen Schutz und Verwaltung für Anmeldeinformationen bieten.

Für welche Systeme stellt der Diebstahl von Anmeldeinformationen hauptsächlich ein Risiko dar? 
Unternehmensumgebungen, in denen Windows-Domänen bereitgestellt werden, sind hauptsächlich gefährdet. Bei Servern ist das Risiko größer, wenn Administratoren Benutzern ermöglichen, sich bei Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Gibt es Funktionsänderungen in den Updates 2973351 und 2975625? 
Ja. Das Standardverhalten für den eingeschränkten Administratormodus wurde unter Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 geändert. Der eingeschränkte Administratormodus ist jetzt standardmäßig ausgeschaltet. Wenn Sie diese Funktion nutzen möchten, müssen Sie sie nach der Installation von Update 2973351 oder 2975625 wieder aktivieren. Zuvor war der eingeschränkte Administratormodus standardmäßig aktiviert. Weitere Informationen zum Aktivieren des eingeschränkten Administratormodus finden Sie im Microsoft Knowledge Base-Artikel 2973351 oder Microsoft Knowledge Base-Artikel 2975625.

Update 2973351 ändert unter unterstützten Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows 2012 oder Windows RT das Standardverhalten nicht. Der eingeschränkte Administratormodus ist bei diesen Betriebssystemen standardmäßig deaktiviert.

Ersetzen die Updates 2973351 und 2975625 das Update 2871997? 
Nein. Update 2871997 ist erforderlich, um Update 2973351 oder 2975625 installieren zu können. Diese Updates bieten konfigurierbare Registrierungseinstellungen für den eingeschränkten Administratormodus, der hinzugefügt wurde, als Sie Update 2871997 installierten.

Für Windows 8.1 und Windows Server 2012 R2 sind mehrere Updates aufgeführt. Muss ich alle Updates installieren? 
Nein. Je nachdem, wie Ihr System für den Bezug von Updates konfiguriert ist, trifft möglicherweise nur eines der Updates für Windows 8.1 oder Windows Server 2012 R2 zu.

Für Systeme, auf denen Windows 8.1 oder Windows Server 2012 R2 ausgeführt wird:

Das Update 2973351 trifft auf Systeme zu, auf denen das Update 2919355 (Windows 8.1-Update) bereits installiert ist.

Das Update 2975625 trifft auf Systeme zu, auf denen das Update 2919355 nicht installiert ist. Das Update 2975625 ist nur für Endbenutzer erhältlich, die Updates mithilfe der Windows Server Update Services (WSUS), Windows Intune oder System Center Configuration Manager verwalten.

Bestehen unter Windows 8.1, Windows Server 2012 R2 oder Windows RT 8.1 Voraussetzungen für das Update 2973351? 
Ja. Endbenutzer, die Windows 8.1, Windows Server 2012 R2 oder Windows RT 8.1 ausführen, müssen zuerst das im April 2014 veröffentlichte Update 2919355 (Windows 8.1-Update) installieren, bevor sie das Update 2973351 installieren. Weitere Informationen zu dem vorausgesetzten Update finden Sie im Microsoft Knowledge Base-Artikel 2919355.

Muss ich alle Sicherheitsupdates installieren, die für diese Empfehlung veröffentlicht wurden? 
Ja. Benutzer sollten alle Updates installieren, die für die Software angeboten wird, die auf ihrem System installiert ist, um alle Funktionen zum Schutz der Anmeldeinformationen zu erhalten.

Welches sind die erwarteten Bereitstellungsszenarios? 
Obwohl diese Änderungen den Schutz von Anmeldeinformationen auf allen Systemen verbessern werden, sind sie in einer Unternehmensumgebung, in der Windows-Domänen bereitgestellt werden, besonders hilfreich. Einige der Änderungen sind abhängig von Funktionen, die in einer auf Windows Server 2012 R2 basierenden Domäne verfügbar sind, und andere Änderungen sind in allen Unternehmensumgebungen nützlich.

Was ist der Subsystemdienst für die lokale Sicherheitsautorität (LSASS; Local Security Authority Subsystem Service)? 
Der Subsystemdienst für die lokale Sicherheitsautorität (Local Security Authority Subsystem Service, LSASS) stellt eine Schnittstelle zum Verwalten von lokaler Sicherheit, Domänenauthentifizierung und Active Directory-Prozessen zur Verfügung. Der Dienst regelt die Authentifizierung für den Client und den Server. Außerdem enthält er Funktionen zur Unterstützung von Active Directory-Dienstprogrammen.

Was ist die lokale Sicherheitsautorität (LSA)?
Die lokale Sicherheitsautorität (LSA), die sich im LSASS-Prozess befindet, überprüft Benutzer bei lokalen und Remoteanmeldungen und setzt lokale Sicherheitsrichtlinien durch.

Was bewirkt dieses Update? 
Dieses Update verbessert die Schutzmechanismen für Anmeldeinformationen und die Steuerelemente für die Domänenauthentifizierung, um den Diebstahl von Anmeldeinformationen zu verringern, indem in den folgenden vier Bereichen Verbesserungen vorgenommen werden:

  • Eingeschränkter Administratormodus für CredSSP (Credential Security Support Provider) 

    Anwendungen können so geschrieben werden, dass diese Änderung dazu verwendet wird, eine Verbindung zu einem fernen Server herzustellen, ohne dass Anmeldeinformationen an den Hostserver übertragen werden. Dadurch wird verhindert, dass Ihre Anmeldeinformationen bei der anfänglichen Verbindung geerntet werden, wenn der Server manipuliert wurde.

    Wenn der Host überprüft, ob das Benutzerkonto, mit dem eine Verbindung hergestellt wird, über Administratorrechte verfügt und den eingeschränkten Administratormodus unterstützt, wird die Verbindung erfolgreich hergestellt. Andernfalls schlägt der Verbindungsversuch fehl. Der eingeschränkte Administratormodus sendet niemals Klartext oder andere wiederverwendbare Formen von Anmeldeinformationen an Remotecomputer.

    Zwei Registrierungsschlüsseleinstellungen können konfiguriert werden, um den eingeschränkten Administratormodus zu verwalten. Der Schlüssel „DisableRestrictedAdmin“ dient zum Aktivieren bzw. Deaktivieren des eingeschränkten Administratormodus. Wenn der eingeschränkte Administratormodus aktiviert ist, wird mit „DisableRestrictedAdminOutboundCreds“ die Fähigkeit für einen Benutzer (der über Remotedesktop mit eingeschränktem Administratormodus mit einem System verbunden ist) aktiviert bzw. deaktiviert, sich mit dem lokalen Rechnerkonto automatisch bei Remoteressourcen zu authentifizieren.

  • Bereinigung von Anmeldeinformationen in der LSA 

    Diese Funktion verringert die Angriffsfläche von Anmeldeinformationen für die Domäne in der lokalen Sicherheitsautorität. Änderungen an dieser Funktion umfassen: das Verhindern von Netzwerkanmeldungen und interaktiven Remoteanmeldungen bei mit Domänen verbundenen Computern mithilfe lokaler Konten; das Einschränken des von Kerberos/NTLM/Digest/CredSSP bereitgestellten Anmeldeinformationscache; das Einschränken des Kerberos-Cache mit unverschlüsselten Kennwörtern; das Nicht-Zwischenspeichern von Anmeldeinformationen in CredSSP, es sei denn, dies wird von der Richtlinie zugelassen; und das Einschränken der Verwendung von Anmeldeinformationen für Digest.

  • Sicherheitsgruppe „Geschützte Benutzer“ 

    Diese Funktion fügt Unterstützung für die Sicherheitsgruppe „Geschützte Benutzer“ hinzu, die mit Windows 8.1 und Windows Server 2012 R2 eingeführt wurde. Diese Unterstützung kann auf Computer angewandt werden, die Mitglieder einer auf Windows Server 2012 R2 basierenden Domäne sind.

    Mitglieder der Gruppe „Geschützte Benutzer“ sind durch die folgenden Authentifizierungsmethoden noch weiter eingeschränkt:

    • Ein Mitglied der Gruppe „Geschützte Benutzer“ kann sich nur mit dem Kerberos-Protokoll anmelden. Das Konto kann nicht mit NTLM, Digestauthentifizierung oder CredSSP authentifizieren. Auf einem Gerät mit Windows 8 werden Kennwörter nicht zwischengespeichert, sodass das Gerät, das einen der SSPs (Security Support Provider) verwendet, nicht bei einer Domäne authentifiziert werden kann, wenn das Konto ein Mitglied der Gruppe „Geschützte Benutzer“ ist..
    • Das Kerberos-Protokoll verwendet in der Vorauthentifizierung nicht die schwächeren Verschlüsselungstypen DES oder RC4. Das bedeutet, dass die Domäne zumindest auf die Unterstützung der AES-Codierungssuite konfiguriert werden muss.
    • Das Konto des Benutzers kann mit der eingeschränkten oder uneingeschränkten Delegierung von Kerberos nicht delegiert werden. Das bedeutet, dass frühere Verbindungen zu anderen Systemen fehlschlagen können, wenn der Benutzer ein Mitglied der Gruppe „Geschützte Benutzer“ ist.
  • Eingeschränkter Administratormodus für Remotedesktopverbindung

    Diese Funktion fügt Unterstützung für den eingeschränkten Administratormodus zu Remotedesktopverbindung und Remotedesktopprotokoll unter Windows 7, Windows Server 2008 R2, Windows 8 und Windows Server 2012 hinzu, der mit Windows 8.1 und Windows Server 2012 R2 eingeführt wurde.

    • Der eingeschränkte Administratormodus bietet eine Methode zum interaktiven Anmelden bei einem entfernten Hostserver, ohne dass Sie Ihre Anmeldeinformationen an den Server übertragen müssen. Dadurch wird verhindert, dass Ihre Anmeldeinformationen bei der anfänglichen Verbindung geerntet werden, wenn der Server manipuliert wurde.
    • Wenn dieser Modus mit Administratoranmeldeinformationen verwendet wird, versucht der Remotedesktopclient, sich interaktiv bei einem Host anzumelden, der diesen Modus auch ohne das Senden von Anmeldeinformationen unterstützt. Wenn der Host überprüft, ob das Benutzerkonto, mit dem eine Verbindung hergestellt wird, über Administratorrechte verfügt und den eingeschränkten Administratormodus unterstützt, wird die Verbindung erfolgreich hergestellt. Andernfalls schlägt der Verbindungsversuch fehl. Der eingeschränkte Administratormodus sendet niemals Klartext oder andere wiederverwendbare Formen von Anmeldeinformationen an Remotecomputer.
    • Weitere Informationen finden Sie unter What's New in Remote Desktop Services in Windows Server (Englisch).

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (13. Mai 2014): Die Empfehlung wurde veröffentlicht.
  • V2.0 (8. Juli 2014): Empfehlung erneut veröffentlicht, um die Veröffentlichung der Updates 2973351 und 2919355 anzukündigen, mit denen eine stärkere Kontrolle über die eingeschränkten Administratoreinstellungen bereitgestellt wird. Je nach der Software, die auf ihrem System installiert ist, sollten Endbenutzer das Update 2973351 oder 2919355 sofort installieren. Weitere Informationen finden Sie unter Updates, die sich auf diese Empfehlung beziehen und Häufig gestellte Fragen (FAQs) zu dieser Empfehlung.
  • V3.0 (9. September 2014): Die Empfehlung erneut veröffentlicht, um die Veröffentlichung des Updates 2982378 anzukündigen und zusätzlichen Schutz für Anmeldeinformationen von Benutzern zu bieten, wenn diese sich bei einem System mit Windows 7 oder Windows Server 2008 R2 anmelden. Weitere Informationen finden Sie unter Updates, die sich auf diese Empfehlung beziehen.
  • V4.0 (14. Oktober 2014): Empfehlung erneut veröffentlicht, um die Veröffentlichung von Updates anzukündigen, die bei der Anmeldung bei einem entfernten Hostserver zusätzlichen Schutz für Anmeldeinformationen von Benutzern bieten. Weitere Informationen finden Sie unter Updates, die sich auf diese Empfehlung beziehen und Häufig gestellte Fragen (FAQs) zu dieser Empfehlung.
Seite generiert am 09.10.2014 um 15:32Z-07:00.
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft