Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 974926

Angriffe durch die Übertragung von Anmeldeinformationen auf Integrierte Windows-Authentifizierung

Veröffentlicht: Dienstag, 8. Dezember 2009

Version: 1.0

Diese Empfehlung behebt das Potenzial für Angriffe, die die Verarbeitung von Anmeldeinformationen mit der Integrierten Windows-Authentifizierung (IWA) und die Mechanismen betreffen, die Microsoft Benutzern zur Verfügung gestellt hat, um sich gegen diese Angriffe zu schützen.

In diesen Angriffen kann ein Angreifer, der die Anmeldeinformationen für die Authentifizierung des Benutzer erhalten hat, während diese zwischen einem Client und einem Server übertragen wurden, diese Anmeldeinformationen auf einen auf dem Client ausgeführten Dienst reflektieren oder sie an einen anderen Server weiterleiten, auf dem der Client über ein gültiges Konto verfügt. Dadurch kann der Angreifer Zugang zu diesen Ressourcen erhalten, indem er den Client nachahmt. Da IWA-Anmeldeinformationen mit Hash versehen werden, kann ein Angreifer anhand dessen nicht den eigentlichen Benutzernamen das Kennwort feststellen.

Je nach Szenario und Verwendung zusätzlicher Angriffsmethoden kann ein Angreifer Anmeldeinformationen für die Authentifizierung sowohl innerhalb als auch außerhalb des Sicherheitsperimeters der Organisation erhalten und diese Daten dazu verwenden, um sich unangemessen Zugriff auf Ressourcen zu verschaffen.

Microsoft beseitigt die mögliche Auswirkung dieser Probleme auf verschiedenen Ebenen und möchte Benutzern die Tools vorstellen, die zur Behebung der Probleme zur Verfügung gestellt wurden, und welche Auswirkungen die Verwendung dieser Tools hat. Diese Empfehlung enthält Informationen zu den verschiedenen Maßnahmen, die Microsoft ergriffen hat, um den Schutz der IWA-Anmeldeinformationen für die Authentifizierung zu verbessern, und Anleitungen für Benutzer zum Bereitstellen dieser Schutzvorrichtungen.

Schadensbegrenzende Faktoren:

  • Um Anmeldeinformationen zu übertragen, muss ein Angreifer eine weitere Sicherheitsanfälligkeit erfolgreich ausnutzen, um einen Man-in-the-Middle-Angriff auszuführen. Er kann das Opfer auch mithilfe von Social Engineering dazu verleiten, eine Verbindung zu einem Server herzustellen, der sich unter Kontrolle des Angreifers befindet, indem er z. B. einen Link in einer schädlichen E-Mail-Nachricht sendet.
  • Internet Explorer sendet niemals automatisch Anmeldeinformationen über HTTP an Server, die in der Internetzone gehostet werden. Dadurch wird das Risiko verringert, dass Anmeldeinformationen von einem Angreifer innerhalb dieser Zone weitergeleitet oder reflektiert werden können.
  • Eingehender Datenverkehr muss auf dem Clientsystem zugelassen werden, damit ein Reflektionsangriff gelingt. Die gängigste Angriffsmethode ist SMB, da dies IWA-Authentifizierung ermöglicht. Hosts hinter einer Firewall, die SMB-Datenverkehr blockiert, oder Hosts, die SMB-Datenverkehr auf einer Host-Firewall blockieren, sind nicht für die gängigsten NTLM-Reflektionsangriffe anfällig, die auf SMB abzielen.

Allgemeine Informationen

Zweck dieser Sicherheitsempfehlung: Erklärung der Maßnahmen, die Microsoft ergriffen hat, um den Schutz und die Verarbeitung von Anmeldeinformationen zu verbessern, wenn die Integrierte Windows-Authentifizierung (IWA) verwendet wird.

Status der Empfehlung: Die Empfehlung wurde veröffentlicht.

Empfehlung: Lesen Sie die Vorschläge und führen Sie die entsprechenden Maßnahmen durch.

ReferenzenIdentifizierung
Microsoft Knowledge Base-Artikel 974926

Diese Empfehlung betrifft die folgende Software.

Betroffene Software
Windows XP Service Pack 2 und Windows XP Service Pack 3

Windows XP für x64-basierte Systeme Service Pack 2

Windows Server 2003 Service Pack 2

Windows Server 2003 für x64-basierte Systeme Service Pack 2

Windows Server 2003 für Itanium-basierte Systeme Service Pack 2, Windows Vista, Windows Vista Service Pack 1 und Windows Vista Service Pack 2

Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 und Windows Vista x64 Edition Service Pack 2

Windows Server 2008 für 32-Bit-Systeme und Windows Server 2008 für 32-Bit-Systeme Service Pack 2

Windows Server 2008 für x64-basierte Systeme und Windows Server 2008 für x64-basierte Systeme Service Pack 2

Windows Server 2008 für Itanium-basierte Systeme und Windows Server 2008 für Itanium-basierte Systeme Service Pack 2

Windows 7 für 32-Bit-Systeme*

Windows 7 für x64-basierte Systeme*

Windows Server 2008 R2 für x64-basierte Systeme*

Windows Server 2008 R2 für Itanium-basierte Systeme*

*Windows 7 und Windows Server 2008 R2 stellen erweiterten Authentifizierungsschutz als Funktion der Security Support Provider-Schnittstelle (SSPI) bereit. Auf diesen Plattformen ausgeführte Anwendungen sind u. U. immer noch der Übertragung von Anmeldeinformationen ausgesetzt, wenn entweder das Betriebssystem oder die Anwendung nicht zur Unterstützung dieser Funktion konfiguriert sind. Erweiterter Authentifizierungsschutz ist nicht standardmäßig aktiviert.

Was genau umfasst diese Empfehlung? 
Diese Sicherheitsempfehlung bietet eine umfassende Ansicht der von Microsoft angewandten Strategie zum Schutz vor der Übertragung von Anmeldeinformation. Sie bietet einen Überblick über die derzeit verfügbaren Updates zur umfassenden Behebung dieses Problems.

Wodurch wird diese Bedrohung verursacht? 
Diese Empfehlung behebt das Potenzial zur Übertragung von Authentifizierungsinformationen. Diese Angriffe finden statt, wenn es einem Angreifer gelingt, sich Anmeldeinformationen für die Authentifizierung zu verschaffen, z. B. durch einen Man-in-the-Middle-Angriff, oder indem der einen Benutzer dazu verleitet, auf einen Link zu klicken. Dieser Link kann bewirken, dass der Client auf einen vom Angreifer kontrollierten Dienst zugreift, der den Benutzer auffordert, sich mit IWA zu authentifizieren.

Dies sind die Formen der Übertragung von Anmeldeinformationen, auf die in dieser Empfehlung verwiesen wird:

  • Weiterleiten von Anmeldeinformationen: Mit Anmeldeinformationen für die Domäne, die sich ein Angreifer verschafft, kann dieser sich bei anderen Diensten anmelden, von denen bekannt ist, dass das Opfer Zugriff darauf hat. Der Angreifer kann dann Berechtigungen erlangen, die mit denen des Opfers auf dem Zieldienst identisch sind.
  • Reflektion von Anmeldeinformationen: Mit Anmeldeinformationen für die Domäne, die sich ein Angreifer verschafft, kann dieser sich wieder beim Computer des Opfers anmelden. Der Angreifer erhält dann Berechtigungen auf jenem Computer, die mit denen des Opfers identisch sind.

Damit diese Angriffe erfolgreich sind, muss ein Angreifer bewirken, dass ein Benutzer eine Verbindung zum Server des Angreifers herstellt. Dies kann durch Angriffe erreicht werden, bei denen der Angreifer im lokalen Netzwerk anwesend ist, z. B. ARP-Cache-Poisoning (Address Resolution Protocol).

Die Auswirkungen dieser Angriffe nehmen zu, wenn ein Angreifer einen Benutzer dazu verleitet, eine Verbindung zu einem Server außerhalb der Grenze der Organisation herzustellen. Dies sind bestimmte Szenarien, unter denen solches stattfinden kann:

  • DNS-Devolution: Eine Windows DNS-Client Funktion, mit der Windows DNS-Clients DNS-Abfragen für unqualifizierte Hostnamen mit einzelner Bezeichnung auflösen. Ein unbefugter Benutzer kann einen bestimmten Hostnamen außerhalb der Grenze der Organisation registrieren, der unabsichtlich von Clients kontaktiert werden kann, wenn diese falsch konfiguriert sind und bei dem Versuch, auf jenen Hostnamen zuzugreifen, die Devolution außerhalb der Grenze der Organisation durchführen.
  • DNS-Spoofing: Ein Angreifer, der die Sicherheitsanfälligkeiten im Windows DNS (Domain Name System) ausnutzt, die Spoofing ermöglichen können. Diese Angriffe können einem Remoteangreifer ermöglichen, für Internet bestimmten Netzwerkverkehr auf sein eigenes System umzuleiten.
  • Spoofing des NetBios-Namendiensts (NSBS): Der Benutzer wird dazu verleitet, ein speziell gestaltetes Active Code-Applet (z. B. Java oder Flash) auszuführen, das eine Abfrage für einen lokalen Hostnamen initiiert und daraufhin mit einer Remote-IP-Adresse gefälschte NBNS-Antworten an den Client übermittelt. Wird eine Verbindung zu diesem Hostnamen hergestellt, betrachtet der Client diesen als lokalen Computer und versucht, IWA-Anmeldeinformationen zu übermitteln, wodurch diese dem Remoteangreifer offen gelegt werden.

Microsoft hat mehrere Updates veröffentlicht, um diese Szenarien zu beheben. Diese Empfehlung bietet eine Zusammenfassung für Benutzer, um die Risiken und Probleme in ihrem bestimmten Bereitstellungsszenario zu bewerten.

Was ist die Integrierte Windows-Authentifizierung (IWA)?  
Bei der Integrierten Windows-Authentifizierung (ehemals NTLM, auch bekannt als Windows NT Abfrage/Rückmeldung-Authentifizierung) werden der Benutzername und das Kennwort (Anmeldeinformationen) mit Hash versehen, bevor sie über das Netzwerk gesendet werden. Wenn Sie die Integrierte Windows-Authentifizierung aktivieren, beweist der Client seine Kenntnis vom Kennwort durch einen mit Hash versehenen kryptografischen Austausch mit Ihrem Webserver. Die Integrierte Windows-Authentifizierung beinhaltet die Authentifizierungsmethoden Verhandeln, Kerberos und NTLM.

Was ist ein Man-in-the-Middle-Angriff?  
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern durch den Computer des Angreifers umleitet, ohne dass die beiden kommunizierenden Benutzer davon wissen. Der Angreifer kann den Datenverkehr überwachen und lesen, bevor er ihn an den gewünschten Empfänger sendet. Jeder Benutzer in der Kommunikation sendet unbewusst Datenverkehr an den Angreifer und erhält Datenverkehr von diesem und wähnt die ganze Zeit, nur mit dem beabsichtigten Benutzer zu kommunizieren.

Welche Maßnahmen hat Microsoft ergriffen, um Spoofing-Angriffe in DNS zu beheben?  
Microsoft hat folgende Security Bulletins veröffentlicht, um Spoofing-Angriffe in DNS zu beheben:

  • MS08-037 beseitigt zwei Sicherheitsanfälligkeiten, die einem Angreifer ermöglichen, DNS-Datensätze zu fälschen und diese in den DNS-Servercache einzufügen.
  • MS09-008 beseitigt zwei Sicherheitsanfälligkeiten, die einem Angreifer ermöglichen, DNS-Datensätze zu fälschen und diese in den DNS-Servercache einzufügen, außerdem zwei Sicherheitsanfälligkeiten, die einem Angreifer ermöglichen, auf die Netzwerkinfrastruktur bezogene Hostnamen (WPAD und ISATAP) zu registrieren, mit denen weitere Angriffe durchgeführt werden können.

Welche Maßnahmen hat Microsoft ergriffen, um Spoofing-Angriffe in NBNS zu beheben?  
Microsoft hat mit den Händlern von Drittanbietersoftware zusammengearbeitet, die von dieser Sicherheitsanfälligkeit betroffen sind, und hat schadensbegrenzende Maßnahmen gegen diese Angriffsmethode implementiert. Dieses Problem in Adobe Flash Player wurde im Adobe Security Bulletin APSB08-11 und in der Sun Java Runtime Environment in dem Sun Alert 103079 behoben.

Was ist ARP-Cache-Poisoning (Address Resolution Protocol)?  
Angriffe bzgl. ARP-Cache-Poisoning bestehen darin, dass der Computer eines Angreifers, der sich in dem gleichen Subnetz befindet wie das Opfer, gefälschte oder überflüssige ARP-Antworten sendet. Diese versuchen in der Regel, Clients zu verwirren und davon zu überzeugen, dass der Angreifer das Standardgateway im Netzwerk ist. Dadurch sendet der betroffene Computer Informationen an den Angreifer und nicht an das Gateway. Mit solchen Angriffen kann ein Man-in-the-Middle-Angriff eingerichtet werden.

Was ist TLS (Transport Layer Security)? 
Das TLS-Handshake-Protokoll (Transport Layer Security) ist für die Authentifizierung und den Schlüsselaustausch verantwortlich, die zum Einrichten oder Wiederaufnehmen sicherer Sitzungen erforderlich sind. Beim Einrichten einer sicheren Sitzung verwaltet das Handshake-Protokoll Folgendes:

  • Verhandlung mit der Verschlüsselungssammlung
  • Authentifizierung beim Server und optional beim Client
  • Austausch bzgl. der Sitzungsschlüsselinformationen

Weitere Informationen finden Sie im TechNet-Artikel Funktionsweise von TLS/SSL.

Für welche Versionen von Windows gilt diese Empfehlung? 
Die Weiterleitung und Reflektion von Anmeldeinformation betrifft alle Plattformen, die die Integrierte Windows-Authentifizierung durchführen können. Der erweiterte Authentifizierungsschutz ist in Windows 7 und Windows Server 2008 R2 enthalten und wurde für Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008 in einem nicht sicherheitsrelevanten Update zur Verfügung gestellt, das als Sicherheitsempfehlung 973881 veröffentlicht wurde. Um die Anmeldeinformationen für die Authentifizierung vollständig zu schützen, müssen bestimmte Anwendungen auf diesen Plattformen immer noch den Mechanismus auswählen. Der erweiterte Authentifizierungsschutz ist nicht für die Microsoft Windows 2000-Plattform verfügbar.

Welche Maßnahmen hat Microsoft ergriffen, um Angriffe durch die Reflektion von Anmeldeinformationen zu beheben?  
Anwendungen sind gegen Angriffe durch die Reflektion von Anmeldeinformationen geschützt, wenn der SPN (Service Principal Name) richtig verwendet wird, um sich bei einem Dienst zu authentifizieren.

Vor Veröffentlichung dieser Sicherheitsempfehlung hatte Microsoft die folgenden Sicherheitsupdates veröffentlicht, um sicherzustellen, dass Windows-Komponenten und Microsoft-Anwendungen diesen Mechanismus richtig auswählen, um Schutz gegen Angriffe durch die Reflektion von Anmeldeinformationen bereitzustellen:

  • Microsoft Security Bulletin MS08-068 hat die Reflektion der Anmeldeinformationen behoben, wenn eine Verbindung zum SMB-Server eines Angreifers hergestellt wird.
  • Microsoft Security Bulletin MS08-076 hat die Reflektion der Anmeldeinformationen behoben, wenn eine Verbindung zum Windows Media-Server eines Angreifers hergestellt wird.
  • Microsoft Security Bulletin MS09-013 hat Reflektion der Anmeldeinformationen behoben, wenn über die WinHTTP-Anwendungsprogrammierschnittstelle eine Verbindung zum Webserver eines Angreifers hergestellt wird.
  • Microsoft Security Bulletin MS09-014 hat Reflektion der Anmeldeinformationen behoben, wenn über die WinINET-Anwendungsprogrammierschnittstelle eine Verbindung zum Webserver eines Angreifers hergestellt wird.
  • Microsoft Security Bulletin MS09-042 hat die Reflektion der Anmeldeinformationen behoben, wenn eine Verbindung zum Telnet-Server eines Angreifers hergestellt wird.

Welche Maßnahmen hat Microsoft ergriffen, um Angriffe durch das Weiterleiten von Anmeldeinformationen zu beheben?  
Die Windows Security Support Provider-Schnittstelle (SSPI) schütz teilweise vor dem Weiterleiten von Anmeldeinformationen. Diese Schnittstelle wurde in Windows 7 und Windows Server 2008 R2 implementiert und als nicht sicherheitsrelevantes Update für Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008 zur Verfügung gestellt.

Um geschützt zu sein, müssen weitere nicht sicherheitsrelevante Updates bereitgestellt werden, die den gleichen Schutz für bestimmte Client- und Serverkomponenten und Anwendungen bereitstellen. Diese Funktion ändert sowohl die Authentifizierung auf dem Client als auch auf dem Server und sollte mit Bedacht bereitgestellt werden. Weitere Informationen zum erweitertem Authentifizierungsschutz und den nicht sicherheitsrelevanten Updates, die zur Implementierung dieses Mechanismus veröffentlicht wurden, finden Sie in der Microsoft-Sicherheitsempfehlung 973811.

Wie geht dieses Update gegen Angriffe durch das Weiterleiten von Anmeldeinformationen vor?  
Das nicht sicherheitsrelevante SSPI-Update (Microsoft-Sicherheitsempfehlung 973811) ändert die SSPI, um den aktuellen IWA-Mechanismus (Integrierte Windows-Authentifizierung) dahingehend zu erweitern, dass Authentifizierungsanforderungen sowohl an den SPN des Servers gebunden werden können, mit dem der Client eine Verbindung herzustellen versucht, als auch an den äußeren TLS-Kanal (Transport Layer Security), über den die IWA-Authentifizierung stattfindet. Dies ist ein grundlegendes Update, bei dem keine Sicherheitsanfälligkeit an sich behoben wird. Es stellt aber eine optionale Funktion bereit, die von Anwendungsanbietern konfiguriert werden kann.

Die anwendungsspezifischen, nicht sicherheitsrelevanten Updates ändern einzelne Systemkomponenten, die IWA-Authentifizierung durchführen, damit diese die Schutzmechanismen wählen können, die von Layer 1 des nicht sicherheitsrelevanten Updates implementiert werden. Weitere Informationen zum Aktivieren des erweiterten Authentifizierungsschutzes finden Sie in der Microsoft-Sicherheitsempfehlung 973999 und dem entsprechenden Microsoft Knowledge Base-Artikel 973999.

Welche Maßnahmen hat Microsoft ergriffen, um die Probleme bei der DNS-Devolution zu beheben?  
DNS-Devolution kann als Angriffsmethode verwendet werden, um diese Sicherheitsanfälligkeit außerhalb eines Unternehmensnetzwerks auszunutzen. Devolution ist eine Windows DNS-Client-Funktion, mit der Windows DNS-Clients DNS-Abfragen für unqualifizierte Hostnamen mit einzelner Bezeichnung auflösen. Abfragen werden erstellt, indem das primäre DNS-Suffix (PDS) an den Hostnamen angefügt wird. Die Abfrage wird wiederholt, indem systematisch die Bezeichnung ganz links im PDS entfernt wird, bis der Hostname und das verbleibende PDS aufgelöst werden oder nur noch zwei Bezeichnungen im freigelegten PDS übrig sind. Windows-Clients z. B., die in der Domäne „western.corp.contoso.co.us“ nach „Single-label“ (einzelne Bezeichnung) suchen, fragen nacheinander „Single-label.western.corp.contoso.co.us“, „Single-label.corp.contoso.co.us“, „Single-label.contoso.co.us“ und dann „Single-label.co.us“ ab, bis ein System gefunden wird, das aufgelöst werden kann. Dieser Prozess wird als Devolution bezeichnet.

Ein Angreifer kann ein System mit einer einzelnen Bezeichnung außerhalb der Grenze einer Organisation hosten und aufgrund der DNS-Devolution einen Windows DNS-Client erfolgreich dazu veranlassen, eine Verbindung zu dem anderen System herzustellen, als ob er sich innerhalb der Grenze der Organisation befindet. Wenn das DNS-Suffix eines Unternehmens z. B. „corp.contoso.co.us“ lautet und ein Versuch unternommen wird, einen unqualifizierten Hostnamen von „Single-Label“ aufzulösen, versucht die DNS-Auflösung es mit „Single-Label.corp.contoso.co.us“. Wird diese nicht gefunden, wird über DNS-Devolution versucht, „Single-label.contoso.co.us“ aufzulösen. Wird dies nicht gefunden, wird versucht, „Single-label.co.us“ aufzulösen, das sich außerhalb der Domäne „contoso.co.us“ befindet. Dieser Prozess wird als Devolution bezeichnet.

Wenn dieser Hostname z. B. WPAD lautet, kann ein Angreifer, der WPAD.co.us einrichtet, eine schädliche Web Proxy Auto-Discovery-Datei bereitstellen, um die Clientproxyeinstellungen zu konfigurieren.

Microsoft hat die Sicherheitsempfehlung 971888 und ein zugehöriges Update veröffentlicht, um Organisationen eine bessere Kontrolle darüber zu bieten, wie Windows-Clients DNS-Devolution durchführen. Dieses Update ermöglicht einer Organisation, Clients daran zu hindern, die Devolution außerhalb der Grenze der Organisation durchzuführen.

Was können Drittentwickler tun, um die Übertragung von Anmeldeinformationen zu beheben?  
Drittentwickler sollten erwägen, den erweiterten Authentifizierungsschutz zu implementieren, indem sie diesen neuen Schutzmechanismus wählen, der in der Microsoft-Sicherheitsempfehlung 973811 beschrieben ist.

Weitere Informationen für Entwickler zum Auswählen dieses Mechanismus finden Sie im MSDN-Artikel Integrierte Windows-Authentifizierung mit erweitertem Schutz.

Was ist ein SPN (Service Principal Name)? 
Ein SPN (Service Principal Name) ist der Name, anhand dessen ein Client eine Instanz eines Diensts eindeutig identifiziert. Wenn Sie mehrere Instanzen eines Dienstes auf Computern in einem Netzwerk installieren, muss jede Instanz ihren eigenen SPN haben. Eine bestimmte Dienstinstanz kann mehrere SPNs haben, wenn es mehrere Namen gibt, die Clients zur Authentifizierung verwenden können. Ein SPN enthält z. B. immer den Namen des Hostcomputers, auf dem die Dienstinstanz ausgeführt wird. Deshalb kann eine Dienstinstanz einen SPN für jeden Namen oder Alias ihres Hosts registrieren.

  • Lesen Sie bitte die Microsoft-Sicherheitsempfehlung 973811 („Erweiterter Schutz für Windows-Authentifizierung“) und implementieren Sie die zugehörigen Updates 
    In dieser Sicherheitsempfehlung wird die Veröffentlichung nicht sicherheitsrelevanter Updates angekündigt, die erweiterten Authentifizierungsschutz implementieren. Diese Funktion trägt zum Schutz von Authentifizierungsversuchen gegen Übertragungsangriffe bei.
  • Lesen Sie bitte die Microsoft-Sicherheitsempfehlung 971888 („Update für die DNS-Devolution“) 
    In dieser Sicherheitsempfehlung wird die Veröffentlichung eines optionalen, nicht sicherheitsrelevanten Updates angekündigt, das Systemadministratoren ermöglicht, DNS-Devolution mit größerer Spezifität zu konfigurieren.
  • Lesen Sie den Microsoft Knowledge Base-Artikel zu dieser Empfehlung 
    Endbenutzer, die mehr über diese Funktion erfahren möchten, sollten den folgenden Artikel lesen: Microsoft Knowledge Base-Artikel 974926.
  • Schützen Sie Ihren PC 
    Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirensoftware zu installieren. Mehr zu diesen Vorsichtsmaßnahmen erfahren Sie unter Schützen Sie Ihren Computer.
  • Weitere Informationen zur Sicherheit im Internet finden Sie im Microsoft-Sicherheitsportal.
  • Aktualisieren Sie Windows regelmäßig 
    Alle Windows-Endbenutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, rufen Sie die Windows Update-Website auf, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie Automatische Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.

Problemumgehungen

Es gibt eine Reihe von Problemumgehungen, mit dem Systeme gegen Angriffe bezüglich der Reflektion bzw. Weitergabe von Anmeldeinformationen geschützt werden können. Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn eine Problemumgehung die Funktionalität verringert, wird diese Einschränkung im folgenden Abschnitt genannt.

Blockieren der TCP-Ports 139 und 445 an der Firewall:

Bei Angriffen durch die Reflektion von Anmeldeinformationen finden eingehende Verbindungen, die die übertragenen Anmeldeinformationen verwenden, am ehesten über SMB- oder RPC-Dienste statt. Das Blockieren der TCP-Ports 139 und 445 an der Firewall schützt Systeme hinter dieser Firewall vor Angriffen, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Microsoft empfiehlt das Blockieren der gesamten unerwünscht eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Weitere Informationen zu den Ports finden Sie unter TCP- und UDP-Portzuweisungen.

Auswirkung der Problemumgehung: Mehrere Windows-Dienste verwenden die betroffenen Ports. Durch das Blockieren der Verbindung zu den Ports funktionieren verschiedene Anwendungen oder Dienste möglicherweise nicht mehr. Einige der möglicherweise betroffenen Anwendungen und Dienste werden im Folgenden aufgeführt.

  • Anwendungen, die SMB (CIFS) verwenden
  • Anwendungen, die Mailslots oder Named Pipes (RPC über SMB) verwenden
  • Server (Datei- und Druckerfreigabe)
  • Gruppenrichtlinie
  • Anmeldedienst
  • Distributed File System (DFS)
  • Terminal Server-Lizenzierung
  • Druckwarteschlange
  • Computerbrowser
  • Remote Procedure Call Locator
  • Faxdienst
  • Indexdienst
  • Leistungsprotokolle und Warnmeldungen
  • Systems Management Server
  • Lizenzprotokollierdienst

Aktivieren der SMB-Signatur

Durch das Aktivieren der SMB-Signatur wird verhindert, dass der Angreifer Code im Kontext des angemeldeten Benutzers ausführt. Die SMB-Signatur stellt gegenseitige und Nachrichtenauthentifizierung bereit, indem in jedem SMB eine digitale Signatur platziert wird, die dann sowohl vom Client als auch vom Server überprüft wird. Microsoft empfiehlt, die SMB-Signatur mithilfe der Gruppenrichtlinien zu konfigurieren.

Ausführliche Anleitungen zum Aktivieren und Deaktivieren der SMB-Signatur mithilfe der Gruppenrichtlinien für Microsoft Windows 2000, Windows XP und Windows Server 2003 finden Sie im Microsoft Knowledge Base-Artikel 887429. Die Anleitungen im Microsoft Knowledge Base-Artikel 887429 für Windows XP und Windows Server 2003 gelten auch für Windows Vista und Windows Server 2008.

Auswirkung der Problemumgehung: Durch die Verwendung der SMB-Paketsignatur kann die Leistung der Dateidiensttransaktionen herabgesetzt werden. Computer, bei denen diese Richtlinieneinstellung festgelegt ist, kommunizieren nicht mit Computern, bei denen die clientseitige Paketsignatur nicht aktiviert ist. Weitere Informationen zur SMB-Signatur und möglichen Auswirkungen finden Sie unter Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer).

Weitere Informationen:

Ressourcen:

  • Sie können uns Ihr Feedback über das Formular auf der Microsoft-Website Hilfe und Support: Kontakt zukommen lassen.
  • Technischer Support ist über den Security Support erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
  • Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der Website Internationale Hilfe und Support.
  • Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.

Haftungsausschluss:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

  • V1.0 (8. Dezember 2009): Die Empfehlung wurde veröffentlicht.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft