A Microsoft számú biztonsági közleménye MS06-011 - Fontos

A széles körű engedélyeket nyújtó Windows szolgáltatások diszkrét hozzáférés-szabályozási listái (DACL) jogosultság illetéktelen megszerzéséhez vezethetnek (914798)

Közzétéve: 2006. március 14. | Frissítve: 2006. június 13.

Verzió: 2.1

Összefoglalás

A dokumentum célközönsége: Microsoft Windows rendszert használó vásárlók

A biztonsági rés hatása: Jogosultság illetéktelen megszerzése

Súlyosság maximális foka :Fontos

Javaslat: A frissítést célszerű mihamarabb telepíteni.

Felváltott biztonsági frissítések: Nincsenek

Ellenjavallat:: A Microsoft Tudásbázis 914798. számú cikkében olvasható, hogy a felhasználók a biztonsági frissítés telepítésekor milyen ismert problémákkal találkozhatnak. A cikkben a problémákra javasolt megoldások is szerepelnek. További információt a Microsoft Tudásbázis 914798. számú cikkében talál.

Tesztelt szoftverek és a biztonsági frissítés letöltési helyei:

Érintett szoftverek:

  • Microsoft Windows XP Service Pack 1 – Frissítés letöltése
  • Microsoft Windows Server 2003 – Frissítés letöltése
  • Microsoft Windows Server 2003 Itanium-alapú rendszerekhez – Frissítés letöltése
  • Nem veszélyeztetett szoftverek:
    • Microsoft Windows 2000 Service Pack 4
    • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) és Microsoft Windows Millennium Edition
    • Microsoft Windows XP Service Pack 2
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003 Service Pack 1
    • Microsoft Windows Server 2003 SP1 javítócsomaggal ellátott Itanium-alapú rendszerekhez
    • Microsoft Windows Server 2003 x64 Edition

Általános tudnivalók

Összefoglalás:

A tárgyalt frissítés egy újonnan felfedezett, nyilvános biztonsági rést szüntet meg. A biztonsági rést a közlemény „A biztonsági rés részletes ismertetése” című szakasza ismerteti.

Ha egy támadó kihasználja a biztonsági rést, teljes mértékben átveheti a rendszer irányítását. Ezt követően programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat.

Javasoljuk, hogy a biztonsági frissítést a lehető leghamarabb telepítse.

A súlyosság maximális foka és a biztonsági rés azonosítója:

A biztonsági rés azonosítójaA biztonsági rés hatásaWindows 98, 98 SE, MEWindows 2000Windows XP Service Pack 1Windows XP Service Pack 2Windows Server 2003Windows Server 2003 Service Pack 1
Széles körű engedélyeket nyújtó Windows szolgáltatások diszkrét hozzáférés-szabályozási listái - CAN-2006-0023Jogosultság illetéktelen megszerzése
NincsNincsFontos
NincsMérsékelt.Nincs

Ez a minősítés a biztonsági rés által érintett rendszerek típusain, a tipikus telepítési környezeteken, valamint a biztonsági rés kihasználásával az adott rendszerekben elérhető hatáson alapul.

Megjegyzés: A nem x86 operációs rendszerekre vonatozó súlyossági besorolások a következő x86 rendszerverzióknak felelnek meg:

  • A Microsoft Windows XP Professional x64 Edition súlyossági besorolása megegyezik a Windows XP Service Pack 2 besorolásával.
  • A Microsoft Windows Server 2003 Itanium-alapú rendszerekhez súlyossági besorolása megegyezik a Windows Server 2003 besorolásával.
  • A Microsoft Windows Server 2003 SP1 Itanium-alapú rendszerekhez súlyossági besorolása megegyezik a Windows Server 2003 Service Pack 1 besorolásával.
  • A Microsoft Windows Server 2003 x64 Edition súlyossági besorolása megegyezik a Windows Server 2003 Service Pack 1 besorolásával.

Miért adja ki a Microsoft a közleményt ismét 2006. június 13-án?
A Microsoft frissítette a közleményt és a hozzátartozó biztonsági frissítéseket, hogy azok tartalmazzák a frissített rendszerleíró kulcsokat a NetBT, RemoteAccess és TCPIP-szolgáltatásokhoz. Ezek az értékek azért kerültek módosításra, hogy azok Windows XP Service Pack 2 és Windows XP Service Pack 1 rendszerek esetén megegyezzenek. Javasoljuk a Windows XP Service Pack 1 felhasználóknak, hogy az illetéktelen jogosultságmegszerzés kockázatának csökkentése érdekében mindenképpen telepítsék a javított frissítést jelen közlemény „A biztonsági rés részletes ismertetése” című szakaszában felsorolt utasítások szerint. Szervizcsomaggal el nem látott Windows 2003 rendszereket ez az újbóli kiadás nem érinti. További ismertetést és a frissített rendszerleíró kulcsokat a Microsoft Tudásbázis 914798 cikkében találja.

Milyen módosításokat tartalmaz a javított biztonsági frissítés?
A javított biztonsági frissítés az első biztonsági frissítés bináris részeihez képest módosításokat nem tartalmaz. Telepítés közben a módosított biztonsági frissítés frissíteni fogja a NetBT, RemoteAccess, és TCPIP-szolgáltatások rendszerleíró kulcsait, amint arról a914798 számú Microsoft Tudásbáziscikk is beszámolt.

Milyen ismert problémákkal találkozhatnak a felhasználók a biztonsági frissítés telepítésekor?
A Microsoft Tudásbázis 914798. számú cikkében olvasható, hogy a felhasználók a biztonsági frissítés telepítésekor milyen ismert problémákkal találkozhatnak. A cikkben a problémákra javasolt megoldások is szerepelnek. További információt a Microsoft Tudásbázis 914798. számú cikkében talál.

A frissítés miért nem ad hozzá a rendszerhez frissített fájlokat a telepítést követően?
Windows XP Service Pack 1 rendszerek esetén a frissítés a szolgáltatás diszkrét hozzáférés-szabályozási listáját (DACL) a Windows XP Service Pack 2 rendszerével megegyező beállításokkal látja el. A javítócsomag nélküli Windows 2003 rendszereken a frissítés a kiválasztott szolgáltatások diszkrét hozzáférés-szabályozási listáit a Windows 2003 Service Pack 1 rendszerével megegyező beállításokkal látja el. A rendszer ezen konfigurációs módosításait maga a telepítőprogram végzi el, a rendszerfájlokat a biztonsági frissítés telepítése nem változtatja meg, ill. frissíti.

Eltávolítható-e a frissítés?
Mivel a frissítési művelet a rendszerfájlokat nem módosítja, a frissítés nem távolítható el.  Javítócsomag nélküli Windows 2003 és Windows XP SP1 rendszereken a frissítés beállítja a kiválasztott szolgáltatások diszkrét hozzáférés-szabályozási listáit (DACL) Windows 2003 SP1 és Windows XP SP2 beállításoknak megfelelően. A rendszer ezen konfigurációs módosításait maga a telepítőprogram végzi el, a rendszerfájlokat a biztonsági frissítés telepítése nem változtatja meg, ill. frissíti. A módosítások azonban a rendszer segédprogramjainak segítségével visszaállíthatóak. A DACL-beállításoknak a frissítés hatására végbement módosításainak eltávolításáról és visszaállításáról bővebb információt a Microsoft Tudásbázis 914798. sz. cikke tartalmaz.

Tartalmaz a frissítés funkcionalitásbeli módosítást is?
Igen. A frissítés a fokozott biztonság érdekében a közlemény „A biztonsági rés részletes ismertetése” című részében feltüntetett szolgáltatásokon túl, módosítja az alább felsorolt szolgáltatás- és rendszerleíró kulcsok diszkrét hozzáférés-szabályozási listáit is. Ezek a kiegészítő szolgáltatás- és rendszerleíró kulcsok az alább felsorolt szolgáltatások diszkrét hozzáférés-szabályozási listáit a Windows XP Service Pack 2 megegyező szintre állítják Windows XP Service Pack 1 rendszereken, Windows 2003 Service Pack 1 szintre javítócsomag nélküli Windows 2003 rendszerek esetében. A frissítés által érintett szolgáltatás- és rendszerleíró kulcs diszkrét hozzáférés-szabályozási listákkal kapcsolatban a Microsoft Tudásbázis 914798 számú cikkét kell megtekintenie.

A frissítés által érintett egyéb szolgáltatási és rendszerleírókulcs-módosítások

Operációs rendszer Szolgáltatás Rendszerleíró kulcs
Microsoft Windows XP Service Pack 1MSDTC
DHCP
NetBT
Távoli hozzáférés
TCPIP
Windows Server 2003MSDTC

SysmonLog
DHCP
DnsCache
NetBT
Távoli hozzáférés
TCPIP

A jelen közleményben leírt biztonsági rések közül egy vagy több kritikusan érinti a Windows 98, a Windows 98 Second Edition vagy a Windows Millennium Edition operációs rendszert?
Nem. Teszteléssel állapították meg az összefoglalásban említett szoftverek egyes verzióinak érintettségét. Elképzelhető, hogy a szoftver egyéb verzióihoz már nem jár támogatás a biztonsági frissítések terén vagy érintettségük nem egyértelmű. Az egyes termékek és azok verzióinak támogatási életciklusáról a Microsoft termékek terméktámogatási életciklusát ismertető webhelyen talál felvilágosítást.

A Microsoft Baseline Security Analyzer (MBSA) 1.2.1 eszközzel megállapítható, hogy szükség van-e erre a frissítésre?
Igen. Az MBSA 1.2.1 megállapítja, hogy szükség van-e erre a frissítésre. Az MBSA-eszközről a további tudnivalókat az MBSA webhelyén találja. Mivel ez a frissítés nem távolítható el, az érintett diszkrét hozzáférés-szabályozási listák korábbi állapotra történő visszaállítása esetén a regisztrációs adatbázis szerkesztésével állítható be, hogy az MBSA meg tudja állapítani, szükség van-e ismét a frissítésre. A Microsoft Tudásbázis 914798. sz. cikkében olvashat bővebben arról, milyen módosítást kell végezni a regisztrációs adatbázisban ahhoz, hogy az MBSA 1.2.1 meg tudja állapítani, megtörtént-e a frissítés manuális eltávolítása.

A Microsoft Baseline Security Analyzer (MBSA) 2.0 eszközzel megállapítható, hogy szükség van-e erre a frissítésre?
Igen. Az MBSA 2.0 megállapítja, hogy szükség van-e erre a frissítésre. Az MBSA 2.0 felismeri a Microsoft Update által támogatott termékek biztonsági frissítéseit. Az MBSA-eszközről a további tudnivalókat az MBSA webhelyén találja. Mivel ez a frissítés nem távolítható el, az érintett diszkrét hozzáférés-szabályozási listák korábbi állapotra történő visszaállítása esetén a regisztrációs adatbázis szerkesztésével állítható be, hogy az MBSA meg tudja állapítani, szükség van-e ismét a frissítésre. A Microsoft Tudásbázis 914798. sz. cikkében olvashat bővebben arról, milyen módosítást kell végezni a regisztrációs adatbázisban ahhoz, hogy az MBSA 2.0 meg tudja állapítani, megtörtént-e a frissítés manuális eltávolítása.

A Systems Management Server (SMS) alkalmazással megállapítható, hogy szükség van-e erre a frissítésre?
Igen. Az SMS képes megállapítani, hogy szükség van-e erre a frissítésre, és segítséget nyújt annak központi telepítésében. Az SMS alkalmazásról további információt az SMS webhelyén talál.

Az SMS által használható Security Update Inventory Tool segítségével a Software Update Services által támogatott Windows Update frissítések és az MBSA 1.2.1 által támogatott biztonsági frissítések kereshetők. A Security Update Inventory Tool eszközzel kapcsolatos további tájékoztatást a következő Microsoft webhely tartalmaz. A Security Update Inventory Tool korlátozásaival kapcsolatban tekintse meg a Microsoft Tudásbázis 306460 számú cikkét.

A Microsoft Updates SMS 2003 Inventory Tool eszköze az SMS-funkció alkalmazható a Microsoft Update által felajánlott és a Windows Server Update Services által támogatott biztonsági frissítések észlelésére. Az SMS 2003 Inventory Tool for Microsoft Updates eszközzel kapcsolatos további tájékoztatást a következő Microsoft webhely tartalmaz.

A széles körű engedélyeket nyújtó Windows szolgáltatások diszkrét hozzáférés-szabályozási listái (DACL) jogosultság illetéktelen megszerzését idézhetik elő - CAN-2006-0023

A Windows XP Service Pack 1 rendszer egyes azonosított Windows-szolgáltatásain, amelyeken az alapértelmezésként kiadott engedélyek lehetővé teszik, hogy egy alacsony szintű jogosultsággal rendelkező felhasználó megváltoztassa a szolgáltatásokhoz kapcsolódó tulajdonságokat, illetéktelen jogosultságok megszerzését lehetővé tevő biztonsági rés található. A Windows 2003 rendszer azonosított szolgáltatásaira kiadott engedélyek beállítása lehetővé teszi, hogy a hálózatfelelősök csoportjához tartozó felhasználó megváltoztassa a szolgáltatásokhoz kapcsolódó tulajdonságokat. Csak a célba vett számítógép hálózatkonfigurációs csoportjának tagjai képesek a Windows Server 2003 rendszer ellen támadást indítani, azonban ez a csoport alapértelmezés szerint nem tartalmaz felhasználókat. A biztonsági rés lehetővé teheti az érvényes bejelentkezési adatokkal rendelkező felhasználónak, hogy a Microsoft Windows XP Service Pack 1 rendszer felett teljes egészében átvegye az irányítást.

A széles körű engedélyeket nyújtó Windows szolgáltatások diszkrét hozzáférés-szabályozási listái (DACL) révén történő illetéktelen jogosultság-megszerzés súlyosságát enyhítő tényezők - CVE-2006-0023

  • A támadó csak érvényes bejelentkezési adatok birtokában használhatja ki ezt a biztonsági rést. Névtelen felhasználók nem tudják kiaknázni ezt a biztonsági rést.
  • Az említett hat szolgáltatás közül négy (NetBT, SCardSvr, DHCP, DnsCache) eleve csak kiemelt jogosultságú biztonsági környezeten belül futtatható. Ezenfelül az a két szolgáltatás, az SSDPSRV és az UPNPHost, amelyet a támadó már hitelesített felhasználóként is igénybe vehet, csak Windows XP Service Pack 1 rendszeren jelent kockázatot.

Lehetséges megoldások a Windows szolgáltatások diszkrét hozzáférés-szabályozási listái (DACL) révén történő illetéktelen jogosultság-megszerzés jelentette biztonsági rés (CAN-2006-0023) elhárítására

A Microsoft az alábbi megoldásokat tesztelte. Megoldást jelentett a Windows XP Service Pack 1 és a Windows Server rendszerek alapértelmezett diszkrét hozzáférés-szabályozási listáinak módosítása a Windows XP Service Pack 2 és a Windows Server 2003 Service Pack 1 rendszerek biztonságosabb diszkrét hozzáférés-szabályozási listáira. Így ezek a probléma teljes megoldásának tekinthetők. Mivel az utóbbi időben a legújabb operációs rendszereket már a javasolt hozzáférés-szabályozási listákkal hozták forgalomba, ezek esetében a kockázat előreláthatóan csekély mértékű. Az alkalmazások kompatibilitásának szempontjából azonban a diszkrét hozzáférés-szabályozási listák bármilyen módosítása rejt magában némi kockázatot.

  • Az azonosított szolgáltatások módosított hozzáférés-szabályozási listáinak beállítása az sc.exe paranccsal:

    Megjegyzés Az sc.exe parancsot kiemelt jogosultságú felhasználóként kell futtatni. A parancs számítógép-indítási vagy SMS-parancsfájllal adható ki. A parancs segítségével a diszkrét hozzáférés-szabályozási listák a Windows XP Service Pack 2 és a Windows Server 2003 Service Pack 1 rendszerekben meglévő biztonsági szintre javíthatók. Az sc.exe parancsról és a Windows-szolgáltatások diszkrét hozzáférés-szabályozási listáinak beállításáról a Microsoft termékismertetője tartalmaz bővebb információt. Az eljárás nem igényli a számítógép újraindítását.

    A Windows XP Service Pack 1 rendszerhez futtassa az alábbi parancsokat. Mindegyik parancs elvégzi a megfelelő szolgáltatásra vonatkozó módosítást a diszkrét hozzáférés-szabályozási listán.

    sc sdset ssdpsrv D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPLORC;;;AU)(A;;RPWPDTRC;;;LS)

    sc sdset netbt D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCLCSWRPLOCRRC;;;NO)

    sc sdset upnphost
    D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWLOCRRC;;;LS)

    sc sdset scardsvr D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCLCSWRPWPDTLOCRRC;;;LS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPLOCRRC;;;S-1-2-0)

    sc sdset dhcp D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)

    sc sdset dnscache D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)

    Windows Server 2003 rendszeren futtassa le a következő parancsokat. Mindegyik parancs elvégzi a megfelelő szolgáltatásra vonatkozó módosítást a diszkrét hozzáférés-szabályozási listán.

    sc sdset netbt D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCLCSWRPLOCRRC;;;NO)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    sc sdset dhcp D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    sc sdset dnscache D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    Megjegyzés Windows Server 2003 rendszeren csak a NetBt, DnsCache és DHCP szolgáltatások a bizonyosan érintettek. Windows Server 2003 rendszerek esetén a támadást csak a hálózatfelelősök csoportjának egy tagja indíthatja el. A csoport alapértelmezés szerint üres.

    A megoldás hatása: Nincs

  • Csoportházirend alkalmazása az érintett szolgáltatásokra vonatkozó hozzáférés-szabályozási lista megváltoztatásához.

    A tartományi rendszergazdák csoportházirend és biztonsági sablonok segítségével alkalmazhatnak módosított hozzáférés-szabályozási listákat a Windows XP Service Pack 1 rendszerekre. A biztonsági sablonok csoportházirenddel történő alkalmazásáról a Microsoft tudásbázis 816585. számú cikke tartalmaz részletesebb tudnivalókat. Az eljárás nem igényli a számítógép újraindítását.

    Windows XP Service Pack 1 rendszerben a következő biztonsági sablonnal módosíthatja az Upnphost, SCardSvr, SSDPSRV, DnsCache és Dhcp szolgáltatásokat.

    [Unicode]
    Unicode=yes
    [Version]
    signature="$CHICAGO$"
    Revision=1
    [Service General Setting]
    SSDPSRV,2,"D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-32-549)(A;;CCLCSWRPLORC;;;AU)(A;;RPWPDTRC;;;S-1-5-19)"
    upnphost,2,"D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-32-549)(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWLOCRRC;;;S-1-5-19)"
    scardsvr,2,"D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCLCSWRPWPDTLOCRRC;;;S-1-5-19)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-32-549)(A;;CCLCSWRPLOCRRC;;;S-1-2-0)"
    dhcp,2,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
    dnscache,2,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

    Windows Server 2003 rendszerben a következő biztonsági sablonnal módosíthatja a DnsCache és DHCP szolgáltatásokat.

    [Unicode]
    Unicode=yes
    [Version]
    signature="$CHICAGO$"
    Revision=1
    [Service General Setting]
    dhcp,,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
    dnscache,,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

    Megjegyzés A Windows XP Service Pack 1 és a Windows Server 2003 rendszerekben a szolgáltatások diszkrét hozzáférés-szabályozási listáinak módosítása a Microsoft csoportházirend objektumszerkesztő használatával a NetBT-szolgáltatáson nem támogatott. Ezért a NetBt szolgáltatás diszkrét hozzáférés-szabályozási listájának módosítása nem szerepel a Windows Server 2003 rendszerhez kiadott biztonsági sablonban.

    Megjegyzés Windows Server 2003 rendszeren csak a NetBt, DHCP és DnsCache szolgáltatások a bizonyosan érintettek. Windows Server 2003 rendszerek esetén a támadást csak a hálózatfelelősök csoportjának egy tagja indíthatja el. Ez a csoport alaphelyzetben üres, és ritkán adnak hozzá tagokat.

    A megoldás hatása: Amellett, hogy a szolgáltatások diszkrét hozzáférés-szabályozási listáit a Windows XP Service Pack 2 rendszerben meglévő szintre módosítja, a biztonsági sablon visszaállítja az érintett szolgáltatás indítási típusát az eredeti „Automatikus” értékre. Mivel a Windows Server 2003 rendszer támogatja az indítási típus beállítások módosításának lehetőségét, a Windows Server 2003 rendszer indítási típusa nem változik.

  • Az érintett szolgáltatások hozzáférés-szabályozási adatainak módosítása a Windows rendszerleíró adatbázisában.

    A szolgáltatásmódosításhoz elsősorban az sc.exe parancs ajánlott. Emellett azonban az alábbi paranccsal is elérhető, hogy az érintett szolgáltatások diszkrét hozzáférés-szabályozási listái a Windows XP Service Pack 2 biztonsági szintjére kerüljenek. Tanácsos a rendszerleíró adatbázisról bármilyen módosítás előtt biztonsági másolatot készíteni. A rendszerleíró parancsfájlokról és a Windows rendszerleíró adatbázisának módosításáról a Microsoft tudásbázisának 214752. számú cikke tartalmaz részletesebb tudnivalókat.

    Windows XP Service Pack 1 rendszerben az alapértelmezett érintett szolgáltatások módosítása a következő rendszerleíró kulcsok módosítása révén

    SSDPSRV szolgáltatás:

    reg add HKLM\System\CurrentControlSet\Services\SSDPSRV\Security /v Security /t REG_BINARY /d _
    01001480bc000000c8000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
    00002008c000600000000001400ff010f0001010000000000051200000000001800ff010f00010200000000000520_
    0000002002000000001800fd0102000102000000000005200000002302000000001800ff010f00010200000000000_
    52000000025020000000014009d00020001010000000000050b000000000014007000020001010000000000051300_
    0000010100000000000512000000010100000000000512000000

    NetBT szolgáltatás:

    reg add HKLM\System\CurrentControlSet\Services\netbt\Security /v Security /t REG_BINARY /d _
    01001480e8000000f4000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
    0000200b80008000000000014008d01020001010000000000050b000000000018009d010200010200000000000520_
    0000002302000000001800ff010f000102000000000005200000002002000000001800ff010f00010200000000000_
    5200000002502000000001400fd010200010100000000000512000000000014004000000001010000000000051300_
    00000000140040000000010100000000000514000000000018009d0102000102000000000005200000002c0200000_
    10100000000000512000000010100000000000512000000

    UPnPHost szolgáltatás:

    reg add HKLM\System\CurrentControlSet\Services\upnphost\Security /v Security /t REG_BINARY /d _
    01001480bc000000c8000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
    00002008c000600000000001400ff010f0001010000000000051200000000001800ff010f00010200000000000520_
    0000002002000000001800fd0102000102000000000005200000002302000000001800ff010f00010200000000000_
    52000000025020000000014009d00020001010000000000050b000000000014008f01020001010000000000051300_
    0000010100000000000512000000010100000000000512000000

    ScardSvr szolgáltatás:

    reg add HKLM\System\CurrentControlSet\Services\scardsvr\Security /v Security /t REG_BINARY /d _
    01001480a4000000b0000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
    000020074000500000000001400fd01020001010000000000051200000000001400fd010200010100000000000513_
    00000000001800ff010f000102000000000005200000002002000000001800ff010f0001020000000000052000000_
    025020000000014009d01020001010000000000020000000001010000000000051200000001010000000000051200_
    0000

    A DHCP-szolgáltatásnál:

    reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dhcp\security /v Security /t REG_BINARY /d _
    01001480900000009C000000140000003000000002001C00010000002801400FF010F00010100000000000100000000020060000_
    4000000000014008D01020001010000000000050B00000000001800FD010200012000000000005200000002C02000000001800FF_
    010F00010200000000005200000002002000000001400FD010200010100000000000512000000101000000000005120000000101_
    00000000000512000000

    A DnsCache szolgáltatásnál:

    reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dnscache\security /v Security /t REG_BINARY /d_
    01001480A8000000B4000000140000003000000002001C00010000002801400FF010F00010100000000000100000000020078000500_
    0000000014008D01020001010000000000050B000000000018009D010200012000000000005200000002302000000001800FD010200_
    010200000000005200000002C02000000001800FF010F000102000000000005200000002002000000001400FD010200010100000000_
    00051200000001010000000000512000000010100000000000512000000

    A Windows Server 2003 érintett alapértelmezett szolgáltatásai esetén módosítsa az alábbi rendszerleíró kulcsot.

    NetBT szolgáltatás:

    reg add HKLM\System\CurrentControlSet\Services\netbt\Security /v Security /t REG_BINARY /d _
    01001480e8000000f4000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
    0000200b80008000000000014008d01020001010000000000050b000000000018009d010200010200000000000520_
    0000002302000000001800ff010f000102000000000005200000002002000000001800ff010f00010200000000000_
    5200000002502000000001400fd010200010100000000000512000000000014004000000001010000000000051300_
    00000000140040000000010100000000000514000000000018009d0102000102000000000005200000002c0200000_
    10100000000000512000000010100000000000512000000

    A DHCP-szolgáltatásnál:

    reg add HKLM\System\CurrentControlSet\Services\dhcp\Security /v Security /t REG_BINARY /d _
    01001480900000009C000000140000003000000002001C00010000002801400FF010F000101000000000001000_
    000000200600004000000000014008D01020001010000000000050B00000000001800FD0102000020000000000_
    05200000002C02000000001800FF010F000102000000000005200000002002000000001400FD01020001010000_
    000000051200000010100000000000512000000010100000000000512000000

    A DnsCache szolgáltatásnál:

    reg add HKLM\System\CurrentControlSet\Services\dnscache\Security /v Security /t REG_BINARY /d _
    01001480900000009C000000140000003000000002001C00010000002801400FF010F000101000000000001000_
    000000200600004000000000014008D01020001010000000000050B00000000001800FD0102000020000000000_
    05200000002C02000000001800FF010F000102000000000005200000002002000000001400FD01020001010000_
    000000051200000010100000000000512000000010100000000000512000000

    Megjegyzés A rendszerleíró kulcsok értékeinél az olvashatóság érdekében „_” és kocsivissza karaktereket illesztettünk be. A parancs megfelelő végrehajtása érdekében távolítsa el ezeket.

    A megoldás hatása: A szolgáltatások DACL-jeinek beállításán felül megegyezik a Windows Server 2003 Service Pack 1 és Windows XP Service Pack 2 rendszernél tapasztaltakkal. Az eljárás nem igényli a számítógép újraindítását.

Gyakran feltett kérdések a széles körű engedélyeket nyújtó Windows szolgáltatások diszkrét hozzáférés-szabályozási listái (DACL) révén történő illetéktelen jogosultság-megszerzésével kapcsolatban - CAN-2006-0023

Mire terjed ki a biztonsági rés hatása?
A probléma illetéktelen jogosultságok megszerzéséhez vezethet. Ha egy támadó kihasználja a biztonsági rést, teljes mértékben átveheti a rendszer irányítását. A támadó megváltoztathatná az érintett szolgáltatásokhoz kapcsolódó, alapértelmezett bináris adatokat. Ezután a szolgáltatás leállításával, majd újraindításával kárt okozó programot vagy bináris fájlt futtathatna. Ezt követően programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat.

Mi okozza a biztonsági rést?
A Windows XP Service Pack 1 rendszerben az azonosított Windows-szolgáltatásokra alapértelmezésként kiadott engedélyek lehetővé teszik, hogy egy alacsony szintű jogosultsággal rendelkező felhasználó megváltoztassa a szolgáltatásokhoz kapcsolódó tulajdonságokat. A Windows 2003 rendszer azonosított szolgáltatásaira kiadott engedélyek beállítása lehetővé teszi, hogy a hálózatfelelősök csoportjához tartozó felhasználó megváltoztassa a szolgáltatásokhoz kapcsolódó tulajdonságokat.

Mire használhatja a biztonsági rést a támadó?
Ha megváltoztatja az azonosított szolgáltatáshoz társított alapértelmezett programot, a felhasználó alacsony jogosultság birtokában is futtathat olyan parancsokat vagy programokat, amelyek elméletileg magasabb jogosultságot feltételeznek.

Kik használhatják ki a biztonsági rést?
A támadó csak érvényes bejelentkezési adatok birtokában kísérelheti meg kihasználni a biztonsági rést.

Hogyan használhatja ki a támadó a biztonsági rést?
A biztonsági rés kihasználásához a támadónak érvényes azonosító adatokkal először be kell jelentkeznie a rendszerbe. Ezt követően hozzáférhet az érintett összetevőhöz, majd szabványos alkalmazást futtatva kihasználhatja a biztonsági rést, ezáltal a támadó teljes mértékben átveheti a megtámadott rendszer vezérlését.

Mely rendszerekre jelenti a legnagyobb veszélyt a biztonsági rés?
A munkaállomásokat és kiszolgálókat egyaránt veszélyezteti ez a biztonsági rés.

Kritikusan érinti ez a biztonsági rés a Windows 98, a Windows 98 Second Edition vagy a Windows Millennium Edition operációs rendszert?
Nem. A Windows 98, Windows 98 Second Edition és a Windows Millennium Edition rendszerek nem tartalmazzák az érintett összetevőket.

A Windows 2000 rendszert érinti ez a biztonsági rés?
Felismertünk egyes eseteket, amelyek a Kiemelt felhasználók felügyeleti csoport tagjait érintik, de ezeket a felhasználókat magasabb szintű rendszerjogosultságokkal rendelkező, és az egész számítógép beállításainak módosítására képes, megbízható felhasználóknak kell tekinteni. A Kiemelt felhasználók felügyeleti csoporthoz társított jogosultságokról bővebben a Microsoft Tudásbázis 825069. számú cikkében olvashat. A Windows 2000 rendszer is kitett a támadásnak, amennyiben túlságosan széles körű hozzáférési jogosultságokkal rendelkező szolgáltatásokat tartalmazó külső alkalmazás kódját telepíti.

Hogyan állapítható meg, hogy érintett-e külső alkalmazás?
Javasoljuk, hogy a nem alapértelmezett Windows-szolgáltatások érintettségének vizsgálata céljából a felhasználók vegyék fel a kapcsolatot azokkal a szoftverforgalmazókkal, akiknek termékei szolgáltatások telepítését igénylik. A szoftverfejlesztőknek ajánljuk, hogy olvassák el a Microsoft Tudásbázis 914392. sz. cikkében található bővebb tájékoztatót és a szolgáltatásokhoz hozzárendelt biztonságos hozzáférés-vezérlőkkel kapcsolatos gyakorlati tanácsokat.

Kihasználható a biztonsági rés az interneten keresztül?
Nem. A támadónak a célba vett rendszerhez érvényes bejelentkezési adatokkal kell rendelkeznie.

Mi a frissítés feladata?
A frissítés módosítja a Windows XP Service Pack 1 és a Windows Server rendszerek alapértelmezett diszkrét hozzáférés-szabályozási listáit a Windows XP Service Pack 2 és a Windows Server 2003 Service Pack 1 rendszerek biztonságosabb diszkrét hozzáférés-szabályozási listáira.

Ismert volt-e a nyilvánosság előtt ez a biztonsági rés az említett közlemény kiadásának idején?
Igen. Ez a biztonsági rés nyilvánosságra került. A normál biztonsági rés besorolást és a CAN-2006-0023 azonosítót kapta.

A közlemény kibocsátásáig kapott-e a Microsoft a biztonsági rés kihasználásáról tájékoztató értesítést?
Nem. E közlemény eredeti verziójának kiadásáig a Microsoft találkozott ugyan olyan nyilvánosságra hozott leírásokkal, amelyek tartalmazták egy sikeres támadás forgatókönyvét, de nem kapott olyan információt, amely arra utalt volna, hogy ezt a biztonsági rést nyilvános támadásra használták.

Érintett szoftverek:

Az érintett szoftverre vonatkozó biztonsági frissítésről a megfelelő hivatkozásra kattintva tudhat meg többet:

Windows Server 2003

Előfeltételek
A biztonsági frissítés a Windows Server 2003 rendszer hivatalosan kiadott verzióira telepíthető.

Közzététel jövőbeni javítócsomagokban:
A hibát javító frissítés szerepel a Windows Server 2003 Service Pack 1 szervizcsomagban.

Telepítési információ

A biztonsági frissítés telepítője az alábbi kapcsolók használatát támogatja:

A biztonsági frissítés támogatott telepítési kapcsolói
KapcsolóLeírás
/help A parancssori kapcsolók megjelenítése
Telepítési üzemmódok
/passive Felügyelet nélküli telepítési mód. Nincs szükség felhasználói beavatkozásra, de a telepítési folyamat állapota kijelzésre kerül. Ha a telepítés végén újraindításra van szükség, úgy jelenik meg a párbeszédpanel, hogy figyelmezteti a felhasználót, hogy az újraindítás 30 másodperc múlva bekövetkezik.
/quiet Csendes mód. Megegyezik a felügyelet nélküli móddal, de nem jelenik meg állapotjelzés és hibaüzenet.
Újraindítási lehetőségek
/norestart Újraindítás mellőzése a telepítés végén
/forcerestart A számítógép újraindítása a telepítés után és más alkalmazások becsukása leállításkor, a kinyitott fájlok mentése nélkül.
/warnrestart[:x] Párbeszédpanel figyelmezteti a felhasználót, hogy a számítógép x másodpercen belül újraindul. (Az alapértelmezés szerinti beállítás 30 másodperc.) A /quiet vagy a /passive kapcsolóval történő használatra szánták.
/promptrestart Párbeszédpanel kéri a helyi felhasználót az újraindítás engedélyezésére.
Speciális lehetőségek
/overwriteoem OEM-fájlok felülírása figyelmeztetés nélkül
/nobackup Az eltávolításhoz szükséges fájlok biztonsági mentésének kihagyása
/forceappsclose A számítógép leállításakor más programok bezárásának kényszerítése
/log: path A telepítési naplófájlok átirányítását engedélyezi.
/integrate:path Integrálja a frissítést a Windows forrásfájljaiba. A fájlok a kapcsolóban megadott elérési úton találhatóak.
/extract[:path] A fájlok kibontása a telepítőprogram elindítása nélkül
/ER Bővített hibajelentés engedélyezése
/verbose Részletes naplózás engedélyezése. Telepítés közben létrehozza a %Windir%\CabBuild.log fájlt. A naplófájlban a másolt fájlok szerepelnek. A kapcsoló hatására a rendszer lelassulhat.

Megjegyzés: A kapcsolók egyetlen parancsban is megadhatók. A visszamenőleges kompatibilitás érdekében a biztonsági frissítés a régebbi verziójú telepítőprogram számos telepítési kapcsolóját támogatja. A támogatott telepítési kapcsolókra vonatkozó további tudnivalókat lásd: Microsoft Tudásbázis 262841 számú cikke. Az Update.exe telepítővel kapcsolatos további tudnivalókért keresse fel a Microsoft TechNet webhelyet.

Tudnivalók a központi telepítésről

A biztonsági frissítés Windows Server 2003 rendszerre történő, felhasználói beavatkozás nélküli telepítése a következő paranccsal történhet:

Windowsserver2003-kb914798-x86-enu /quiet

Megjegyzés: A /quiet kapcsoló használata minden üzenetet letilt. Ez a hibaüzenetek letiltását is magában foglalja. A /quiet kapcsoló használatakor a rendszergazdák a támogatott eljárások egyikét alkalmazzák, hogy megbizonyosodjanak a telepítés sikerességéről. A kapcsoló használata esetén a rendszergazdák ellenőrizzék a KB914798.log naplófájlt is az esetleges hibaüzenetek miatt.

A biztonsági frissítés Software Update Services szolgáltatással történő központi telepítéséről a Software Update Services webhelyen tudhat meg többet. A biztonsági frissítésnek Windows Server Update Services szolgáltatással történő központi telepítéséről a Windows Server Update Services webhelyen tudhat meg többet. A biztonsági frissítés Microsoft Update webhelyről is elérhető lesz.

Újraindítás szükségessége

A frissítés nem teszi szükségessé a számítógép újraindítását. A telepítő leállítja a szükséges szolgáltatásokat, alkalmazza a frissítést, majd újraindítja a számítógépet. Ha azonban a szükséges szolgáltatásokat bármely oknál fogva nem sikerül leállítani, vagy a szükséges fájlokat más program használja, a frissítést követően újra kell indítani a számítógépet. Ebben az esetben a rendszer üzenetben figyelmezteti a felhasználót ennek szükségességére. Ha csökkenteni akarja a számítógép újraindítása szükségességének valószínűségét, a biztonsági frissítés telepítése előtt állítsa le az érintett fájlokat esetlegesen használó valamennyi érintett szolgáltatást és alkalmazást. További információkat arra vonatkozóan, hogy miért ajánlhatja fel a számítógép az újraindítást, a Microsoft Tudásbázis 887012 számú cikkében talál.

Információ az eltávolításhoz

Ez a frissítés nem távolítható el. A frissítés hatására végbement módosítások manuális visszaállításáról bővebben a Microsoft Tudásbázis 914798 cikkében olvashat.

Fájlinformáció

Mivel a frissítés csak a megadott szolgáltatások tulajdonságait módosítja, a telepítés nyomán a rendszerhez nem adódnak hozzá új bináris fájlok.

Erről a jelenségről további információt talál a Microsoft Tudásbázis 824994 számú cikkében.

További információt talál az Update.exe telepítőről a Microsoft TechNet webhelyén.

A közleményben alkalmazott szakkifejezésekkel (pl. gyorsjavítás) kapcsolatban tekintse meg a Microsoft Tudásbázis 824684 számú cikkét.

A frissítés telepítésének ellenőrzése

  • Microsoft Baseline Security Analyzer

    A Microsoft Baseline Security Analyzer (MBSA) eszközzel ellenőrizheti, hogy a biztonsági frissítés telepítve van-e az érintett számítógépen. Az MBSA program segítségével a rendszergazda ellenőrizheti a helyi és távoli rendszereken a hiányzó biztonsági frissítéseket és a gyakran előforduló biztonsági konfigurációs hibákat. Az MBSA eszközzel kapcsolatos további tudnivalókért látogasson el a Microsoft Baseline Security Analyzer webhelyére.

  • Rendszerleíró kulcsok ellenőrzése

    Bizonyos esetekben az alábbi rendszerleíró kulcs megtekintésével is ellenőrizheti a biztonsági frissítés által telepített fájlokat.

    Windows Server 2003, Web Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; Windows Server 2003, Datacenter Edition; Windows Small Business Server 2003; Windows Server 2003, Enterprise Edition Itanium-alapú rendszerekhez és Windows Server 2003, Datacenter Edition Itanium-alapú rendszerekhez:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB914798\Filelist

    Megjegyzés: Nem biztos, hogy ez a rendszerleíró kulcs tartalmazza az összes telepített fájlt. Előfordulhat, hogy ha a rendszergazda vagy az OEM gyártó beépíti a biztonsági frissítést a Windows telepítési forrásfájljaiba, a program hibásan hozza létre a rendszerleíró kulcsot.

Windows XP

Előfeltételek
Ehhez a biztonsági frissítéshez a Microsoft Windows XP Service Pack 1 szükséges. További információt a Microsoft Tudásbázis 322389 számú cikkében talál.

Közzététel jövőbeni javítócsomagokban:
A hibát javító frissítés szerepel a Windows XP Service Pack 2-ben.

Telepítési információ

A biztonsági frissítés telepítője az alábbi kapcsolók használatát támogatja:

A biztonsági frissítés támogatott telepítési kapcsolói
KapcsolóLeírás
/help A parancssori kapcsolók megjelenítése
Telepítési üzemmódok
/passive Felügyelet nélküli telepítési mód. Nincs szükség felhasználói beavatkozásra, de a telepítési folyamat állapota kijelzésre kerül. Ha a telepítés végén újraindításra van szükség, úgy jelenik meg a párbeszédpanel, hogy figyelmezteti a felhasználót, hogy az újraindítás 30 másodperc múlva bekövetkezik.
/quiet Csendes mód. Megegyezik a felügyelet nélküli móddal, de nem jelenik meg állapotjelzés és hibaüzenet.
Újraindítási lehetőségek
/norestart Újraindítás mellőzése a telepítés végén
/forcerestart A számítógép újraindítása a telepítés után és más alkalmazások becsukása leállításkor, a kinyitott fájlok mentése nélkül.
/warnrestart[:x] Párbeszédpanel figyelmezteti a felhasználót, hogy a számítógép x másodpercen belül újraindul. (Az alapértelmezés szerinti beállítás 30 másodperc.) A /quiet vagy a /passive kapcsolóval történő használatra szánták.
/promptrestart Párbeszédpanel kéri a helyi felhasználót az újraindítás engedélyezésére.
Speciális lehetőségek
/overwriteoem OEM-fájlok felülírása figyelmeztetés nélkül
/nobackup Az eltávolításhoz szükséges fájlok biztonsági mentésének kihagyása
/forceappsclose A számítógép leállításakor más programok bezárásának kényszerítése
/log:path A telepítési naplófájlok átirányítását engedélyezi.
/integrate:path Integrálja a frissítést a Windows forrásfájljaiba. A fájlok a kapcsolóban megadott elérési úton találhatóak.
/extract[:path] A fájlok kibontása a telepítőprogram elindítása nélkül
/ER Bővített hibajelentés engedélyezése
/verbose Részletes naplózás engedélyezése. Telepítés közben létrehozza a %Windir%\CabBuild.log fájlt. A naplófájlban a másolt fájlok szerepelnek. A kapcsoló hatására a rendszer lelassulhat.

Megjegyzés: A kapcsolók egyetlen parancsban is megadhatók. A visszamenőleges kompatibilitás érdekében a biztonsági frissítés a korábbi verziójú telepítőprogram telepítési kapcsolóit is támogatja. A támogatott telepítési kapcsolókra vonatkozó további tudnivalókat lásd: Microsoft Tudásbázis 262841 számú cikke. Az Update.exe telepítővel kapcsolatos további tudnivalókért keresse fel a Microsoft TechNet webhelyet.

Tudnivalók a központi telepítésről

A biztonsági frissítés Microsoft Windows XP rendszerre történő, felhasználói beavatkozás nélküli telepítése a következő paranccsal történhet:

Windowsxp-kb914798-x86-enu /quiet

Megjegyzés: A /quiet kapcsoló használata minden üzenetet letilt. Ez a hibaüzenetek letiltását is magában foglalja. A /quiet kapcsoló használatakor a rendszergazdák a támogatott eljárások egyikét alkalmazzák, hogy megbizonyosodjanak a telepítés sikerességéről. A kapcsoló használata esetén a rendszergazdák ellenőrizzék a KB914798.log naplófájlt is az esetleges hibaüzenetek miatt.

Újraindítás szükségessége

A frissítés nem teszi szükségessé a számítógép újraindítását. A telepítő leállítja a szükséges szolgáltatásokat, alkalmazza a frissítést, majd újraindítja a számítógépet. Ha azonban a szükséges szolgáltatásokat bármely oknál fogva nem sikerül leállítani, vagy a szükséges fájlokat más program használja, a frissítést követően újra kell indítani a számítógépet. Ebben az esetben a rendszer üzenetben figyelmezteti a felhasználót ennek szükségességére. További információkat arra vonatkozóan, hogy miért ajánlhatja fel a számítógép az újraindítást, a Microsoft Tudásbázis 887012 számú cikkében talál.

Információ az eltávolításhoz

Ez a frissítés nem távolítható el. A frissítés hatására végbement módosítások manuális visszaállításáról bővebben a Microsoft Tudásbázis 914798 cikkében olvashat.

Mivel a frissítés csak a megadott szolgáltatások tulajdonságait módosítja, a telepítés nyomán a rendszerhez nem adódnak hozzá új bináris fájlok.

A frissítés telepítésének ellenőrzése

  • Microsoft Baseline Security Analyzer

    A Microsoft Baseline Security Analyzer (MBSA) eszközzel ellenőrizheti, hogy a biztonsági frissítés telepítve van-e az érintett számítógépen. Az MBSA program segítségével a rendszergazda ellenőrizheti a helyi és távoli rendszereken a hiányzó biztonsági frissítéseket és a gyakran előforduló biztonsági konfigurációs hibákat. Az MBSA eszközzel kapcsolatos további tudnivalókért látogasson el a Microsoft Baseline Security Analyzer webhelyére.

  • Rendszerleíró kulcsok ellenőrzése

    Bizonyos esetekben az alábbi rendszerleíró kulcs megtekintésével is ellenőrizheti a biztonsági frissítés által telepített fájlokat.

    Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition és Windows XP Media Center Edition esetén:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB914798\Filelist

    Megjegyzés: Nem biztos, hogy ez a rendszerleíró kulcs tartalmazza az összes telepített fájlt. Előfordulhat, hogy ha a rendszergazda vagy az OEM gyártó beépíti a biztonsági frissítést a Windows telepítési forrásfájljaiba, a program hibásan hozza létre a rendszerleíró kulcsot.

Egyéb információ

Köszönetnyilvánítás

A Microsoft köszönetét fejezi ki a vásárlók védelmének biztosításában nyújtott segítségért az alábbi szervezet(ek)nek és szakember(ek)nek:

  • Andres Tarasco (SIA Group) a Széles körű engedélyeket nyújtó Windows szolgáltatások diszkrét hozzáférés-szabályozási listái (DACL) révén történő illetéktelen jogosultság-megszerzés (CAN-2006-0023) biztonsági réssel kapcsolatos együttműködéséért

Egyéb biztonsági frissítések beszerzése:

Az alábbi helyekről más típusú biztonsági problémákhoz szerezhetők be frissítések:

  • A biztonsági frissítések a Microsoft letöltőközpontban érhetők el: legegyszerűbben a „biztonsági javítás” kifejezésre irányuló kulcsszavas kereséssel találhatja meg őket.
  • A kereskedelmi forgalomban kapható operációs rendszerekhez a Microsoft Update webhelyről tölthetők le frissítések.

Terméktámogatás:

  • Az Amerikai Egyesült Államokban és Kanadában technikai segítség igényelhető a Microsoft terméktámogatási szolgáltatásától, amelynek telefonszáma 1-866-PCSAFETY. A biztonsági frissítésekkel kapcsolatos hívások ingyenesek.
  • Más országokban a helyi Microsoft-képviseletek nyújtanak támogatást. A biztonsági frissítésekkel kapcsolatos hívások ingyenesek. A nemzetközi támogatási webhely felvilágosítást nyújt arról, támogatási kérdéseivel hogyan fordulhat a Microsofthoz.

Egyéb adatvédelmi és biztonsági források:

Software Update Services:

A Microsoft Software Update Services (SUS) szolgáltatással a rendszergazdák gyorsan és megbízható módon telepíthetik központilag a legújabb fontos és biztonsági frissítéseket a Windows 2000 és a Windows Server 2003 rendszerű kiszolgálókra, valamint a Windows 2000 Professional vagy a Windows XP Professional rendszert futtató asztali rendszerekre.

A biztonsági frissítések Software Update Services szolgáltatással történő központi telepítéséről a Software Update Services webhelyen tudhat meg többet.

Windows Server Update Services:

A Microsoft Software Update Services (WSUS) szolgáltatással a rendszergazdák gyorsan és megbízható módon telepíthetik központilag a legújabb fontos és biztonsági frissítéseket Windows 2000 és újabb operációs rendszerekhez, Office XP és újabb operációs rendszerekhez, Exchange Server 2003 és SQL Server 2000 Windows 2000 és újabb operációs rendszerekre.

A biztonsági frissítések Windows Server Update Services szolgáltatással történő központi telepítéséről részletesebben a Windows Server Update Services webhelyen olvashat.

Systems Management Server:

A Microsoft Systems Management Server (SMS) rendszer egy sokoldalúan beállítható vállalati megoldás, amely a frissítések kezelésére szolgál. Az SMS segítségével a rendszergazda megállapíthatja, hogy melyik Windows alapú számítógép szorul biztonsági frissítésre, és ezeket a frissítéseket szabályozott módon, a felhasználók minimális zavarásával, központilag telepítheti a vállalat teljes informatikai környezetében. Ha többet szeretne tudni arról, hogy a rendszergazdák miként telepíthetik a biztonsági frissítéseket az SMS 2003 alkalmazással, látogasson el az SMS 2003 Security Patch Management webhelyre. Az SMS 2.0-s verzióját használók a Software Updates Service Feature Pack szolgáltatásait is segítségül hívhatják a biztonsági frissítések központi telepítéséhez. Az SMS alkalmazásról további információt az SMS webhelyén talál.

Megjegyzés A Systems Management Server a Microsoft Baseline Security Analyzer eszközön és a Microsoft Office észlelőeszközén, valamint az Enterprise Update Scanning (Vállalati frissítésellenőrző) alkalmazáson keresztül széles körű támogatást nyújt a biztonsági közlemény által kínált javításokhoz. Előfordulhat, hogy egyes szoftverfrissítéseket ezek az eszközök nem észlelnek. Az SMS alkalmazás leltározási szolgáltatásai segítségével a rendszergazdák adott rendszereken hajthatják végre a frissítést. Az eljárásról további információt ezen a webhelyen talál. Egyes biztonsági frissítésekhez rendszergazdai jogosultságokra van szükség a számítógép újraindítása után. A rendszergazdák az SMS 2003 Administration Feature Pack és az SMS 2.0 Administration Feature Pack csomag részét képező Elevated Rights Deployment Tool nevű eszközzel telepíthetik ezeket a frissítéseket.

Felelősséget kizáró nyilatkozat:

A Microsoft Tudásbázisban leírtak előzetes bejelentés nélkül változhatnak, és a cikkek tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók:

  • 1.0 verzió (2006. március 14.): Közzététel.
  • 1.1 verzió, 2006. március 17. Windows Server 2003 rendszerhez módosítva a fájlellenőrzést ismertető szakasz, a fájl megtaláláshoz szükséges helyes rendszerleíró kulccsal.
  • 2.0 verzió (2006. június 13.): A frissítés módosításának célja a frissített rendszerleíró kulcsok bennfoglalása a NetBT, RemoteAccess és TCPIP-szolgáltatások számára. Az értékek a módosítást követően megegyeznek a Windows XP Service Pack 2 szervizcsomagéval Windows XP Service Pack 1 rendszereken, és megegyeznek a Windows 2003 Service Pack 1 szervizcsomaggal a szervizcsomag nélküli Windows 2003 rendszereken. Javasoljuk a felhasználóknak, hogy az illetéktelen jogosultságmegszerzés kockázatának megszüntetése érdekében mindenképpen telepítsék a javított frissítést a közlemény vonatkozó részének utasításai szerint.
  • V2.1 verzió 2006. június 14.: Közlemény annak tisztázására került kiegészítésre, hogy a szervizcsomag nélküli Windows 2003 rendszereket a 2006. június 13-i újbóli kiadás nem érinti.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: