Sicherheitsempfehlung
Microsoft Security Advisory 2868725
Veröffentlicht: 12. November 2013
Version: 1.0
Microsoft kündigt die Verfügbarkeit eines Updates für unterstützte Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT an, um bekannte Schwachstellen in RC4 zu beheben. Das Update unterstützt das Entfernen von RC4 als verfügbare Verschlüsselung für betroffene Systeme über Registrierungseinstellungen. Außerdem können Entwickler RC4 in einzelnen Anwendungen über die Verwendung des SCH_USE_STRONG_CRYPTO Flags in der SCHANNEL_CRED-Struktur entfernen. Diese Optionen sind standardmäßig nicht aktiviert.
Empfehlung Microsoft empfiehlt Kunden, das Update sofort herunterzuladen und zu installieren und dann die neuen Einstellungen in ihren Umgebungen zu testen. Weitere Informationen finden Sie im Abschnitt "Vorgeschlagene Aktionen " dieser Empfehlung.
Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:
| References | Identifikation |
|---|---|
| Microsoft Knowledge Base-Artikel | 2868725 |
In dieser Empfehlung wird die folgende Software erläutert.
| Betriebssystem |
|---|
| Windows 7 für 32-Bit-Systeme Service Pack 1 |
| Windows 7 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 |
| Windows 8 für 32-Bit-Systeme |
| Windows 8 für x64-basierte Systeme |
| Windows Server 2012 |
| Windows RT |
| Server Core-Installationsoption |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) |
| Windows Server 2012 (Server Core-Installation) |
Gilt dieses Update für Windows 8.1, Windows Server 2012 R2 oder Windows RT 8.1?
Nein Dieses Update gilt nicht für Windows 8.1, Windows Server 2012 R2 oder Windows RT 8.1, da diese Betriebssysteme bereits die Funktionalität zum Einschränken der Verwendung von RC4 enthalten.
Was ist der Umfang der Beratung?
Zweck dieser Empfehlung besteht darin, Kunden darüber zu informieren, dass ein Update für unterstützte Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT verfügbar ist, die zusätzliche Optionen zum Einschränken der Verwendung von RC4 bieten. Die Verwendung von RC4 in TLS und SSL könnte es einem Angreifer ermöglichen, Man-in-the-Middle-Angriffe durchzuführen und Klartext aus verschlüsselten Sitzungen wiederherzustellen.
Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern über den Computer des Angreifers umleiten kann, ohne dass die beiden kommunizierenden Benutzer wissen. Jeder Benutzer in der Kommunikation sendet unwissentlich Datenverkehr an und empfängt Datenverkehr vom Angreifer, während er denkt, dass er nur mit dem beabsichtigten Benutzer kommuniziert.
Was geschieht mit dem Update2868725?
Das Update unterstützt das Entfernen von RC4 als verfügbare Verschlüsselung für betroffene Systeme über Registrierungseinstellungen. Außerdem können Entwickler RC4 in einzelnen Anwendungen über die Verwendung des SCH_USE_STRONG_CRYPTO Flags in der SCHANNEL_CRED-Struktur entfernen. Diese Optionen sind standardmäßig nicht aktiviert. Microsoft empfiehlt Kunden, vor der Implementierung in ihren Umgebungen alle neuen Einstellungen zum Deaktivieren von RC4 zu testen.
Wirkt sich das Update auf die Benutzererfahrung für Internet Explorer oder andere In-Box-Anwendungen aus?
Nein Die mit dem Update implementierten Änderungen sind für den Benutzer transparent und wirken sich nicht auf die Benutzererfahrung für Internet Explorer oder andere In-Box-Anwendungen aus. Es ist jedoch möglich, dass sich nachfolgende Änderungen an den Einstellungen zum Deaktivieren von RC4 auf die Benutzererfahrung für Internet Explorer oder andere Anwendungen auswirken können, die TLS verwenden. Aus diesem Grund wird dringend empfohlen, dass Kunden alle neuen Einstellungen im Zusammenhang mit der Deaktivierung von RC4 gründlich testen.
Gewusst wie auf diese Version vorbereiten?
Im Abschnitt "Vorgeschlagene Aktionen" dieser Empfehlung finden Sie eine Liste der Aktionen zur Vorbereitung auf die Bereitstellung dieses Updates.
Was ist Schannel?
Secure Channel, auch bekannt als Schannel, ist ein Sicherheitssupportanbieter (Security Support Provider , SSP), der eine Reihe von Sicherheitsprotokollen enthält, die Identitätsauthentifizierung und sichere private Kommunikation über Verschlüsselung bereitstellen. Schannel wird in erster Linie für Internetanwendungen verwendet, die eine sichere Http-Kommunikation (Hypertext Transfer Protocol) erfordern. Weitere Informationen finden Sie unter Secure Channel.
Was ist TLS?
Transport Layer Security (TLS) ist ein Standardprotokoll, das verwendet wird, um sichere Webkommunikation im Internet oder Intranet bereitzustellen. Damit können Clients Server oder optional Server authentifizieren, um Clients zu authentifizieren. Sie bietet auch einen sicheren Kanal durch Verschlüsseln der Kommunikation. TLS ist die neueste Version des SSL-Protokolls (Secure Sockets Layer).
Was ist RC4?
RC4 ist eine Datenstromchiffre, die sowohl bei der Verschlüsselung als auch bei der Entschlüsselung verwendet wird.
Anwenden des Updates für betroffene Versionen von Microsoft Windows
Die meisten Kunden haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da das 2868725 Update automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.
Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die das 2868725 Update manuell installieren möchten, empfiehlt Microsoft Kunden, das Update sofort mithilfe der Updateverwaltungssoftware anzuwenden oder nach Updates mithilfe des Microsoft Update-Diensts zu suchen. Weitere Informationen zum manuellen Anwenden des Updates finden Sie im Microsoft Knowledge Base-Artikel 2868725.
Testen Sie sorgfältig neue Einstellungen, bevor Sie sie in Ihrer Umgebung implementieren.
Nach dem Anwenden des Updates empfiehlt Microsoft Kunden, vor der Implementierung in ihren Umgebungen alle neuen Einstellungen zum Deaktivieren von RC4 zu testen. Wenn Sie die neuen Einstellungen nicht testen, kann sich dies auf die Benutzererfahrung für Internet Explorer oder andere Anwendungen auswirken, die TLS verwenden.
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
- V1.0 (12. November 2013): Empfehlung veröffentlicht.
Gebaut am 2014-04-18T13:49:36Z-07:00