Microsoft Security Advisory 2871997
Aktualisieren, um den Schutz und die Verwaltung von Anmeldeinformationen zu verbessern
Veröffentlicht: 13. Mai 2014 | Aktualisiert: 9. Februar 2016
Version: 5.0
Allgemeine Informationen
Kurzfassung
Microsoft kündigt die Verfügbarkeit von Updates für unterstützte Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 an, die den Schutz von Anmeldeinformationen verbessern und die Authentifizierungssteuerelemente Standard zur Verringerung des Diebstahls von Anmeldeinformationen verbessern.
Aktualisierungen im Zusammenhang mit dieser Empfehlung
Empfehlung: Microsoft empfiehlt Kunden, diese Updates sofort mithilfe der Updateverwaltungssoftware anzuwenden oder nach Updates mithilfe des Microsoft Update-Diensts zu suchen. Diese Updates können in beliebiger Reihenfolge installiert werden.
- Am 13. Mai 2014 hat Microsoft das 2871997 Update für unterstützte Editionen von Windows 8, Windows RT, Windows Server 2012, Windows 7 und Windows Server 2008 R2 veröffentlicht, das den Schutz von Anmeldeinformationen verbessert und die Authentifizierungssteuerelemente Standard, um den Diebstahl von Anmeldeinformationen zu verringern. Dieses Update bietet zusätzlichen Schutz für die lokale Sicherheitsbehörde (Local Security Authority, LSA), fügt einen eingeschränkten Administratormodus für den Credential Security Support Provider (CredSSP) hinzu, bietet Unterstützung für die geschützte Konto eingeschränkte Do Standard-Benutzerkategorie und erzwingt strengere Authentifizierungsrichtlinien für Windows 7-, Windows Server 2008 R2-, Windows 8- und Windows Server 2012-Computer als Clients. Weitere Informationen zu diesem Update, einschließlich Downloadlinks, finden Sie im Microsoft Knowledge Base-Artikel 2871997.
Hinweis
Beachten Sie , dass unterstützte Editionen von Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 bereits diese Features enthalten und das 2871997 Update nicht benötigen.
- Am 8. Juli 2014 veröffentlichte Microsoft das 2973351 Update für unterstützte Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT sowie für unterstützte Editionen von Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1, die das 2919355 (Windows 8.1 Update) installiert haben. Microsoft hat das 2975625 Update für unterstützte Editionen von Windows 8.1 und Windows Server 2012 R2 veröffentlicht, das nicht über das 2919355 (Windows 8.1 Update)-Update verfügt. Das Update stellt konfigurierbare Registrierungseinstellungen zum Verwalten des eingeschränkten Administratormodus für den Credential Security Support Provider (CredSSP) bereit. Weitere Informationen zu diesem Update, einschließlich Downloadlinks, finden Sie im Microsoft Knowledge Base-Artikel 2973351 und im Microsoft Knowledge Base-Artikel 2975625.
Hinweis
Hinweis: Das Update ändert die Standardfunktionalität für den eingeschränkten Administratormodus für Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1. Ausführliche Informationen finden Sie im Abschnitt "Häufig gestellte Fragen zu Beratungen".
Am 9. September 2014 veröffentlichte Microsoft das 2982378 Update für unterstützte Editionen von Windows 7 und Windows Server 2008 R2. Das Update fügt zusätzlichen Schutz für die Anmeldeinformationen der Benutzer hinzu, wenn sie sich bei einem Windows 7- oder Windows Server 2008 R2-System anmelden, indem sichergestellt wird, dass Anmeldeinformationen sofort sauber werden, anstatt zu warten, bis ein Kerberos TGT (Ticket Granting Ticket) abgerufen wurde. Weitere Informationen zu diesem Update, einschließlich Downloadlinks, finden Sie im Microsoft Knowledge Base-Artikel 2982378.
Am 14. Oktober 2014 veröffentlichte Microsoft die folgenden Updates. Die entsprechenden Updates fügen einen eingeschränkten Administratormodus für Remotedesktop-Verbinden ion und Remotedesktopprotokoll hinzu:
- 2984972 für unterstützte Editionen von Windows 7 und Windows Server 2008 R2
- 2984976 für unterstützte Editionen von Windows 7 und Windows Server 2008 R2, die update 2592687 (RDP)8.0-Update) installiert haben. Kunden, die Update-2984976 installieren, müssen auch Update-2984972 installieren.
- 2984981 für unterstützte Editionen von Windows 7 und Windows Server 2008 R2, für die Update-2830477 (Remotedesktop-Verbinden ion (RDC) 8.1-Clientupdate installiert sind. Kunden, die Update-2984981 installieren, müssen auch Update-2984972 installieren.
- 2973501 für unterstützte Editionen von Windows 8, Windows Server 2012 und Windows RT.
Hinweis
Hinweis Unterstützte Editionen von Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 enthalten bereits dieses Feature und benötigen dieses Update nicht.
- Am 9. Februar 2016 hat Microsoft Update 3126593 für unterstützte Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows RT und Windows Server 2012 veröffentlicht. Das Update aktiviert standardmäßig den Eingeschränkten Administratormodus für den Credential Security Support Provider (CredSSP). Dieses Feature erzwingt das Löschen einer Benutzeranmeldungssitzung nach der Abmeldung. Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 2973351.
Anwendbare Software
In dieser Empfehlung wird die folgende Software erläutert.
| Betriebssystem |
|---|
| Windows 7 für 32-Bit-Systeme Service Pack 1 |
| Windows 7 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 |
| Windows 8 für 32-Bit-Systeme |
| Windows 8 für x64-basierte Systeme |
| Windows 8.1 für 32-Bit-Systeme |
| Windows 8.1 für x64-basierte Systeme |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Windows RT |
| Windows RT 8.1 |
| Server Core-Installationsoption |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) |
| Windows Server 2012 (Server Core-Installation) |
| Windows Server 2012 R2 (Server Core-Installation) |
Häufig gestellte Fragen zu Beratungen
Was ist der Umfang der Beratung?
Dieser Hinweis dient dazu, Kunden darüber zu informieren, dass Updates für Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 verfügbar sind, die zusätzlichen Schutz und die Verwaltung von Anmeldeinformationen bieten.
Welche Systeme sind in erster Linie durch Diebstahl von Anmeldeinformationen gefährdet?
Unternehmensumgebungen, in denen Windows Standard bereitgestellt werden, sind in erster Linie gefährdet. Server sind möglicherweise riskanter, wenn Administratoren benutzern erlauben, sich bei Servern anzumelden und Programme auszuführen. Bewährte Methoden raten jedoch dringend davon ab, dies zuzulassen.
Für Update-2973351 und Update-2975625 gibt es Änderungen an funktionen?
Ja. Das Standardverhalten für den eingeschränkten Administratormodus wurde unter Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 geändert. Der eingeschränkte Administratormodus ist jetzt standardmäßig deaktiviert. Wenn Sie diese Funktionalität verwenden möchten, müssen Sie sie nach der Installation von Update-2973351 oder 2975625 erneut aktivieren. Zuvor war der eingeschränkte Administratormodus standardmäßig aktiviert. Informationen zum Aktivieren des eingeschränkten Administratormodus finden Sie im Microsoft Knowledge Base-Artikel 2973351 oder im Microsoft Knowledge Base-Artikel 2975625.
Update 2973351 ändert das Standardverhalten für unterstützte Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows 2012 oder Windows RT nicht. Der Modus "Eingeschränkter Administrator" ist für diese Betriebssysteme standardmäßig deaktiviert.
Ersetzen Updates 2973351 oder 2975625 Update-2871997 ersetzen?
Nein Update-2871997 ist erforderlich, um updates 2973351 oder 2975625 zu installieren. Diese Updates stellen konfigurierbare Registrierungseinstellungen für den eingeschränkten Administratormodus bereit, der beim Installieren des Updates 2871997 hinzugefügt wurde.
Für Windows 8.1 und Windows Server 2012 R2 sind mehrere Updates aufgeführt. Muss ich alle Updates installieren?
Nein Je nachdem, wie Ihr System für den Empfang von Updates konfiguriert ist, gelten nur eines der Updates für Windows 8.1 oder Windows Server 2012 R2.
Für Systeme mit Windows 8.1 oder Windows Server 2012 R2:
Update-2973351 ist für Systeme vorgesehen, auf denen das 2919355 (Windows 8.1 Update)-Update bereits installiert ist.
Update-2975625 gilt für Systeme, ohne dass das 2919355 Update installiert ist. Beachten Sie, dass die 2975625 Updates nur für Kunden verfügbar sind, die Updates mit Windows Server Update Services (WSUS), Windows Intune oder System Center Configuration Manager verwalten.
Für Windows 8.1, Windows Server 2012 R2 oder Windows RT 8.1 sind voraussetzungen für das 2973351 Update vorhanden?
Ja. Kunden mit Windows 8.1, Windows Server 2012 R2 oder Windows RT 8.1 müssen zuerst das im April 2014 veröffentlichte 2919355 (Windows 8.1 Update)-Update installieren, bevor sie das 2973351 Update installieren. Weitere Informationen zum erforderlichen Update finden Sie im Microsoft Knowledge Base-Artikel 2919355.
Muss ich alle Sicherheitsupdates installieren, die für diese Empfehlung veröffentlicht wurden?
Ja. Kunden sollten alle updates anwenden, die für die auf ihrem System installierte Software angeboten werden, um alle Features zum Schutz von Anmeldeinformationen zu erhalten.
Was sind die erwarteten Bereitstellungsszenarien?
Während diese Änderungen den Schutz von Anmeldeinformationen auf allen Systemen verbessern, sind sie in einer Unternehmensumgebung, in der Windows Standard bereitgestellt werden, am nützlichsten. Einige dieser Änderungen sind von Features abhängig, die in einer windows Server 2012 R2-basierten Funktion verfügbar sind Standard und andere Änderungen sind in allen Unternehmensumgebungen nützlich.
Was ist der Subsystemdienst für lokale Sicherheitsstellen (Local Security Authority Subsystem Service, LSASS)?
Der Subsystemdienst für lokale Sicherheitsstellen (Local Security Authority Subsystem Service, LSASS) bietet eine Schnittstelle zum Verwalten lokaler Sicherheit, do Standard-Authentifizierung und Active Directory-Prozesse. Er verarbeitet die Authentifizierung für den Client und für den Server. Es enthält auch Features, die zur Unterstützung von Active Directory-Hilfsprogrammen verwendet werden.
Was ist die lokale Sicherheitsbehörde (Local Security Authority, LSA)?
Mithilfe der lokalen Sicherheitsautorität (Local Security Authority, LSA), die sich im LSASS-Prozess (Local Security Authority Security Service, Sicherheitsdienst für die lokale Sicherheitsautorität) befindet, werden Benutzer für die lokale Anmeldung und Remoteanmeldung überprüft und lokale Sicherheitsrichtlinien erzwungen.
Was geschieht mit diesem Update?
Dieses Update verbessert den Schutz von Anmeldeinformationen und die Authentifizierungskontrollen Standard um den Diebstahl von Anmeldeinformationen zu verringern, indem Verbesserungen in vier Bereichen vorgenommen werden:
Eingeschränkter Administratormodus für den Supportanbieter für Anmeldeinformationen (CredSSP)
Anwendungen können geschrieben werden, um diese Änderung zu verwenden, um eine Verbindung mit einem Remoteserver herzustellen, ohne Anmeldeinformationen an den Hostserver zu übertragen. Dadurch wird verhindert, dass Ihre Anmeldeinformationen beim anfänglichen Verbindungsprozess abgefangen werden, wenn der Server gefährdet ist.
Die Verbindung wird erfolgreich hergestellt, wenn der Host bestätigt hat, dass das Benutzerkonto, das die Verbindung herstellt, über Administratorrechte verfügt und den eingeschränkten Administratormodus unterstützt. Andernfalls schlägt der Verbindungsversuch fehl. Beim eingeschränkten Administratormodus werden Anmeldeinformationen nie als Nur-Text oder in einer anderen wiederverwendbaren Form an Remotecomputer gesendet.
Zwei Registrierungsschlüsseleinstellungen können so konfiguriert werden, dass der Eingeschränkte Administratormodus verwaltet wird. Der Schlüssel "DisableRestrictedAdmin" wird verwendet, um den eingeschränkten Administratormodus zu aktivieren oder zu deaktivieren. Wenn der Modus "Eingeschränkter Administrator" aktiviert ist, wird "DisableRestrictedAdminOutboundCreds" verwendet, um die Möglichkeit für einen Benutzer zu aktivieren oder zu deaktivieren, der mit einem System verbunden ist, indem der Remotedesktop mit dem Modus "Eingeschränkter Administrator" die automatische Authentifizierung für Remoteressourcen mithilfe des lokalen Computerkontos verwendet.
Anmeldeinformationen sauber up in LSA
Dieses Feature reduziert die Angriffsfläche von do Standard Anmeldeinformationen in der LSA. Änderungen an diesem Feature umfassen: Verhindern Sie die Netzwerkanmeldung und die interaktive Remoteanmeldung Standard mit lokalen Konten verbundenen Computer, beschränken Sie den Anmeldeinformationscache auf die Anmeldelebensdauer, beschränken Sie Kerberos/NTLM/Digest/CredSSP bereitgestellten Anmeldeinformationscache, beschränken Sie den Kerberos-Cache des Nur-Text-Kennworts, speichern Anmeldeinformationen in CredSSP nicht zwischen, es sei denn, die Anmeldeinformationsdelegierungsrichtlinie erlaubt, und beschränken Sie die Verwendung von Anmeldeinformationen für Digest.
Sicherheitsgruppe "Geschützte Benutzer"
Dieses Feature bietet Unterstützung für die Sicherheitsgruppe "Geschützte Benutzer", die in Windows 8.1 und Windows Server 2012 R2 eingeführt wurde. Diese Unterstützung gilt für Standard Mitgliedscomputer in einer windows Server 2012 R2-basierten Do Standard.
Mitglieder der Gruppe "Geschützte Benutzer" werden mithilfe der folgenden Authentifizierungsmethoden weiter eingeschränkt:
- Ein Mitglied der Gruppe "Geschützte Benutzer" kann sich nur über das Kerberos-Protokoll anmelden. Das Konto kann nicht mithilfe von NTLM, Digestauthentifizierung oder CredSSP authentifiziert werden. Auf einem Gerät, auf dem Windows 8 ausgeführt wird, werden Kennwörter nicht zwischengespeichert, sodass das Gerät, das einen dieser Sicherheitssupportanbieter (Security Support Providers, SSPs) verwendet, nicht authentifiziert werden kann Standard wenn das Konto Mitglied der Gruppe "Geschützter Benutzer" ist.
- Das Kerberos-Protokoll wird im Vor-Authentifizierungsprozess nicht die schwächere DES- oder RC4-Verschlüsselung verwenden. Daher muss die Domäne so konfiguriert werden, dass mindestens die Verschlüsselungssammlung AES unterstützt wird.
- Das Konto des Benutzers kann nicht mit der eingeschränkten und uneingeschränkten Kerberos-Delegierung delegiert werden. Das bedeutet, dass frühere Verbindungen mit anderen Systemen fehlschlagen, wenn der Benutzer Mitglied der Gruppe "Geschützte Benutzer" ist.
Eingeschränkter Administratormodus für Remotedesktop-Verbinden ion
Dieses Feature bietet Unterstützung für den eingeschränkten Administratormodus zu Remotedesktop-Verbinden ion und Remotedesktopprotokoll unter Windows 7, Windows Server 2008 R2, Windows 8 und Windows Server 2012, das in Windows 8.1 und Windows Server 2012 R2 eingeführt wurde.
- Der eingeschränkte Administratormodus stellt eine Methode zum interaktiven Protokollieren auf einem Remotehostserver dar, bei dem Ihre Anmeldeinformationen nicht an den Server übermittelt werden. Dadurch wird verhindert, dass Ihre Anmeldeinformationen beim anfänglichen Verbindungsprozess abgefangen werden, wenn der Server gefährdet ist.
- Durch die Verwendung dieses Modus mit Administratoranmeldeinformationen versucht der Remotedesktopclient, sich interaktiv auf einem Host anzumelden, der diesen Modus ebenfalls unterstützt, ohne Anmeldeinformationen zu senden. Die Verbindung wird erfolgreich hergestellt, wenn der Host bestätigt hat, dass das Benutzerkonto, das die Verbindung herstellt, über Administratorrechte verfügt und den eingeschränkten Administratormodus unterstützt. Andernfalls schlägt der Verbindungsversuch fehl. Beim eingeschränkten Administratormodus werden Anmeldeinformationen nie als Nur-Text oder in einer anderen wiederverwendbaren Form an Remotecomputer gesendet.
- Weitere Informationen finden Sie unter "Neuerungen" in Remotedesktopdiensten in Windows Server.
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie bitte die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (13. Mai 2014): Empfehlung veröffentlicht.
- V2.0 (8. Juli 2014): Erneute Empfehlung zur Ankündigung der Veröffentlichung von Updates 2973351 und 2919355, um die eingeschränkten Administratoreinstellungen weiter zu steuern. Je nach installierter Software auf ihrem System sollten Kunden entweder 2973351 oder sofort 2919355 anwenden. Weitere Informationen finden Sie in den Häufig gestellten Fragen zu Updates zu diesen Beratungs - und Beratungsfragen .
- V3.0 (9. September 2014): Erneute Empfehlung zur Ankündigung der Veröffentlichung von Update-2982378, um zusätzlichen Schutz für die Anmeldeinformationen der Benutzer bereitzustellen, wenn Sie sich bei einem Windows 7- oder Windows Server 2008 R2-System anmelden. Weitere Informationen finden Sie unter Updates in Bezug auf diese Empfehlung .
- V4.0 (14. Oktober 2014): Erneute Empfehlung zur Ankündigung der Veröffentlichung von Updates, die zusätzlichen Schutz für die Anmeldeinformationen von Benutzern bei der Anmeldung an einem Remotehostserver bieten. Weitere Informationen finden Sie in den Häufig gestellten Fragen zu Updates zu diesen Beratungs - und Beratungsfragen .
- V5.0 (9. Februar 2016): Erneute Empfehlung zur Ankündigung der Veröffentlichung des Updates 3126593, um standardmäßig den Eingeschränkten Administratormodus für den Credential Security Support Provider (CredSSP) zu aktivieren. Weitere Informationen finden Sie unter Updates in Bezug auf diese Empfehlung .
Seite generiert 2016-02-04 14:22Z-08:00.