P�ihl�sit

Select the product you need help with

MS09-012: Popis aktualizace zabezpe�en� pro izolaci slu�eb syst�mu Windows: duben 2009

ID �l�nku: 956572 - Produkty, kter� se vztahuj� k tomuto �l�nku.

Rozbalit v�echny z�lo�ky | Minimalizovat v�echny z�lo�ky

�VOD

Spole�nost Microsoft vydala bulletin zabezpe�en� MS09-012. Chcete-li zobrazit cel� bulletin zabezpe�en�, nav�tivte jeden z n�sleduj�c�ch web� spole�nosti Microsoft:

Dom�c� u�ivatel�:
http://www.microsoft.com/cze/athome/security/update/bulletins/200904.mspx
(http://www.microsoft.com/cze/athome/security/update/bulletins/200904.mspx)
P�esko�it podrobnosti: Sta�en� aktualizac� pro dom�c� po��ta� nebo p�enosn� po��ta� z webu Microsoft Update:
http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=cs
(http://update.microsoft.com/microsoftupdate/)
Odborn�ci v oblasti IT:
http://www.microsoft.com/cze/technet/security/bulletin/ms09-012.mspx
(http://www.microsoft.com/technet/security/bulletin/ms09-012.mspx)

Pomoc a podpora pro tuto aktualizaci zabezpe�en�

Pro dom�c� u�ivatele je k dispozici bezplatn� podpora na ��sle 1-866-PCSAFETY ve Spojen�ch st�tech a v Kanad�, nebo se mohou obr�tit na m�stn� pobo�ku spole�nosti Microsoft. Informace o tom, jak kontaktovat m�stn� pobo�ku spole�nosti Microsoft ohledn� podpory aktualizace zabezpe�en�, naleznete na n�sleduj�c�m webu mezin�rodn� podpory:

http://support.microsoft.com/common/international.aspx?rdpath=4

(http://support.microsoft.com/common/international.aspx?rdpath=4)

Z�kazn�ci v Severn� Americe mohou tak� na n�sleduj�c�m webu spole�nosti Microsoft z�skat neomezenou bezplatnou podporu e-mailem nebo neomezenou individu�ln� podporu formou konverzace:

http://support.microsoft.com/oas/default.aspx?&prid=7552

(http://support.microsoft.com/oas/default.aspx?&prid=7552)

Pro podnikov� z�kazn�ky je podpora pro aktualizace zabezpe�en� k dispozici prost�ednictv�m standardn�ch kontakt� podpory.

Zp�t nahoru | Dejte n�m zp�tnou vazbu

Dal�� informace

Zn�m� probl�my s touto aktualizac� zabezpe�en�

P��znaky
Po dokon�en� instalace t�to aktualizace na server, kter� pou��v� v�ce ne� �ty�i procesorov� j�dra a na n�m� je spu�t�n server Microsoft ISA Server Standard Edition, se nespust� slu�ba ovl�dac�ho prvku serveru ISA. D�le je do protokolu aplikac� zaznamen�na ud�lost s ID ud�losti 14109.

P��ina
Tyto pot�e se mohou vyskytnout v p��pad�, �e je je�t� p�ed instalac� t�to aktualizace zabezpe�en� nainstalov�na oprava hotfix, kter� byla vyd�na po 7. �noru 2007. K t�mto pot��m doch�z� v d�sledku zm�ny zp�sobu, jak�m syst�m Windows hl�s� po�et dostupn�ch procesor�. Tato zm�na byla poprv� uvedena v oprav� hotfix 932730. Zp�sobuje, �e syst�m Windows Server 2003 hl�s� tyto informace stejn�m zp�sobem jako syst�my Windows Vista a Windows Server 2008. Pokud syst�m Windows nahl�s� v�ce ne� �ty�i procesorov� j�dra, slu�ba ovl�dac�ho prvku serveru ISA tuto informaci interpretuje jako v�ce ne� �ty�i procesory. T�m se aktivuje v�straha a slu�ba ovl�dac�ho prvku serveru ISA i v�echny slu�by, kter� jsou na n� z�visl�, jsou ukon�eny.

Pozn�mka: Oprava hotfix 932730 nebyla sou��st� ��dn� aktualizace Service Pack pro syst�m Windows Server 2003. Dal�� informace o oprav� hotfix 932730 naleznete v n�sleduj�c�m �l�nku znalostn� b�ze Microsoft Knowledge Base:
932370
(http://support.microsoft.com/kb/932370/ )
Syst�m Windows Server 2003 hl�s� nespr�vn� po�et fyzick�ch procesor� podporuj�c�ch technologii hyperthreading nebo nespr�vn� po�et fyzick�ch v�cej�drov�ch procesor�
Dal�� informace o �e�en� tohoto probl�mu naleznete na n�sleduj�c�m webu spole�nosti Microsoft:
http://blogs.technet.com/isablog/archive/2009/04/18/ms09-012-and-isa-server-standard-edition-14109-failures.aspx
(http://blogs.technet.com/isablog/archive/2009/04/18/ms09-012-and-isa-server-standard-edition-14109-failures.aspx)
Chcete-li tyto pot�e vy�e�it pro ISA Server 2004, nainstalujte kumulativn� opravu hotfix 970454. Dal�� informace o tomto probl�mu naleznete v n�sleduj�c�m �l�nku znalostn� b�ze Microsoft Knowledge Base:
970454
(http://support.microsoft.com/kb/970454/ )
Popis bal��ku oprav hotfix pro produkt ISA Server 2004: 2. �ervna 2009
Chcete-li tyto pot�e vy�e�it pro ISA Server 2006, nainstalujte kumulativn� opravu hotfix 970441. Dal�� informace o tomto probl�mu naleznete v n�sleduj�c�m �l�nku znalostn� b�ze Microsoft Knowledge Base:
970441
(http://support.microsoft.com/kb/970441/ )
OPRAVA: Do dokon�en� instalace aktualizace MS09-012 v po��ta�i se syst�mem Windows Server 2003 a v�ce ne� 4 procesory nelze spustit slu�bu ovl�dac�ho prvku serveru ISA

Pozn�mka: Pro ISA Server 2000 nebyla vyd�na ��dn� oprava, proto�e ISA Server 2000 ji� nen� sou��st� hlavn� f�ze technick� podpory a tyto pot�e nep�edstavuj� chybu zabezpe�en�.
Pokud je po instalaci t�to aktualizace proveden m�stn� upgrade z d��ve vydan�ho opera�n�ho syst�mu na nov� opera�n� syst�m, m��e se st�t, �e v n�sleduj�c�ch podkl��ch registru nez�stanou zachov�ny zm�ny proveden� u�ivatelem:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\DefaultSecuredHost

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
K tomuto chov�n� m��e doj�t v n�sleduj�c�ch sc�n��ch upgradu:
- Syst�m Windows XP na syst�m Windows Vista
- Syst�m Windows Server 2003 na syst�m Windows Server 2008
- Syst�m Windows 2000 Server na syst�m Windows Server 2003
K tomuto chov�n� nedoch�z� v n�sleduj�c�ch sc�n��ch upgradu:
- Syst�m Windows Vista na syst�m Windows 7
- Syst�m Windows Server 2008 na nov�j�� aktualizace Service Pack nebo budouc� serverov� opera�n� syst�my
Chcete-li se t�mto pot��m vyhnout, vytvo�te p�ed proveden�m m�stn�ho upgradu z�lohu t�chto podkl��. Po dokon�en� upgradu a oprav�ch syst�mu pomoc� aktualizac� zabezpe�en� obnovte tyto podkl��e ze z�lohy.

Nej�ast�j�� dotazy pro nez�visl� v�robce softwaru (ISV) (COM)

Ot�zka 1: Jak lze ur�it, zda je dan� produkt ohro�en t�mto probl�mem?

Odpov�� 1: Polo�te si n�sleduj�c� dotazy:

Mus� produkt spou�t�t proces serveru COM jin� slu�by ne� NT?
Je ve v�choz�m nastaven� server COM, jeho� instanci produkt vytvo��, spou�t�n v kontextu ��tu s�ov� slu�by nebo m�stn� slu�by?

Je-li odpov�� na oba tyto dotazy kladn�, m��e b�t server COM potenci�ln� ohro�en. Chcete-li pokra�ovat ve zji��ov�n�, zda je server COM ohro�en, postupujte takto:

St�hn�te a nainstalujte program Process Explorer z n�sleduj�c�ho webu spole�nosti Microsoft:
http://technet.microsoft.com/cs-cz/sysinternals/bb896653.aspx
(http://technet.microsoft.com/cs-cz/sysinternals/bb896653.aspx)
Spus�te program Process Explorer jako m�stn� spr�vce.
V nab�dce View (Zobrazit) p�ejd�te na polo�ku Lower Pane View (Zobrazen� doln�ho podokna) a klikn�te na p��kaz Handles (Popisova�e).
Klikn�te na po�adovan� proces serveru a pak v doln�m podokn� vyhledejte polo�ku Type = Token.
Spus�te v�echny sady test� pro dan� produkt.
Vyhledejte v doln�m podokn� v�echny vlastn�n� tokeny a ov��te, zda je zachycen syst�mov� token.

Pokud si v�imnete, �e proces serveru dr�� syst�mov� token, postupujte takto:

St�hn�te a nainstalujte bal��ek Debugging Tools for Windows z n�sleduj�c�ho webu spole�nosti Microsoft:
http://www.microsoft.com/whdc/devtools/debugging/default.mspx
(http://www.microsoft.com/whdc/devtools/debugging/default.mspx)
Spus�te program WinDBG.exe jako m�stn� spr�vce.
Klikn�te na polo�ku File (Soubor) a pak kliknut�m na p��kaz Kernel Debug (Ladit j�dro) spus�te m�stn� ladic� program j�dra.
Klikn�te na polo�ku File (Soubor) a pak na p��kaz Attach to a Process (P�ipojit k procesu).
Klikn�te na po�adovan� proces serveru a pak se kliknut�m na tla��tko OK p�ipojte k tomuto procesu.
Pomoc� n�sleduj�c�ho postupu nastavte cestu k symbol�m ladic�ho programu. Nahra�te parametr �lo�i�t�_pro_p��jem_dat cestou �lo�i�t� pro p��jem dat. P��klad: C:\Symbols.

SRV*�lo�i�t�_pro_p��jem_dat*http://msdl.microsoft.com/download/symbols
Vytvo�te v�pis informac� tokenu procesu.
Z v�stupu p��kazu !process zjist�te adresu tokenu a pak pomoc� p��kazu dt nt!_TOKEN zobrazte seznam jednotliv�ch pol� struktury TOKEN.
Prohl�dn�te pole ImpersonationLevel tokenu.

Pokud proces serveru dr�� syst�mov� token a parametr ImpersonationLevel procesu serveru je nastaven na hodnotu SecurityImpersonation nebo SecurityDelegation, je z�kazn�k, kter� nainstaluje tuto aplikaci serveru COM, ohro�en zneu�it�m MS09-012. Je nutn� zv��it zabezpe�en� serveru COM pomoc� speci�ln�ho identifik�toru zabezpe�en� (SID). Ot�zka 2: Jak lze zjistit, zda aplikace p�edstavuje server COM typu �Spustit jako�?

Odpov�� 2: U server� COM typu �Spustit jako� obsahuje podkl�� registru AppID n�sleduj�c� polo�ku RunAs:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{APPIDGUID}\"RunAs"="NT Authority\NetworkService"

M�-li polo�ka RunAs hodnotu NT Authority\NetworkService nebo NT Authority\LocalService, m��e b�t server COM ohro�en chybou zabezpe�en�, kter� je pops�na v bulletinu MS09-012. Pou�ijte postup popsan� v ��sti Odpov�� 1 a ur�ete, zda je produkt ohro�en.

Ot�zka 3: Jak lze zabezpe�it server COM nainstalovan� pomoc� pou�it�ch produkt�?

Odpov�� 3: Pro f�zi testov�n� v laborato��ch: Chcete-li pomoci zabezpe�it aplikace serveru COM, kter� jsou spu�t�ny v aktiva�n�m re�imu Spustit jako, m�li byste m�t kontrolu nad klientem COM i nad v�emi servery COM, kter� maj� b�t zabezpe�eny. D�le jsou uvedeny kroky, kter�mi lze zv��it zabezpe�en� aplikac� COM typu �Spustit jako� p�i intern�m testov�n�:

Nainstalujte bal��ek MSRC.
Prove�te n�sleduj�c� zm�ny konfigurace pro server COM:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{APPIDGUID} REG_DWORD AppIDFlags 0x2 /* P��klad vyu�it� hodnoty registru AppIDFlags HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{60EE1F45-C0DD-4A1F-AA44-D97424600A16} REG_DWORD AppIDFlags 0x2 */
Pozn�mka: K proveden� t�to zm�ny jsou vy�adov�na pov��en� m�stn�ho spr�vce.

Pokud server COM NS/LS, kter� obsahuje privilegovan� tokeny, nen� slu�bou NT nebo nen� serverem COM typu �Spustit jako�, je nutn� jej p�ev�st na jednu z n�sleduj�c�ch konfigurac�, jinak nebude mo�n� chyb� zabezpe�en� zabr�nit.

Odpov�� 3: Pro st�vaj�c� instalace: Pro z�kazn�ky, jejich� st�vaj�c� instalace vyu��vaj� ohro�en� servery COM, mus� nez�visl� v�robce softwaru publikovat aktualizaci, kter� pom��e povolit tyto zm�ny v po��ta��ch z�kazn�k�.

Odpov�� 3: Pro nov� instalace: Je t�eba, aby nez�visl� v�robce softwaru poskytl inteligentn� instala�n� program, kter� je schopen rozpoznat, zda je v syst�mu nainstalov�na aktualizace zabezpe�en� 956572, a povolit kl�� registru AppIDFlags. Pokud tato aktualizace nen� nainstalov�na, instala�n� program m��e zobrazit chybovou zpr�vu o nekompatibilit� syst�mu a pak ukon�it svou �innost.

Z�kazn�k m��e zjistit, zda je v syst�mu Windows Server 2003 nebo Windows XP nainstalov�na aktualizace zabezpe�en� 956572 pomoc� n�sleduj�c� metody:

Instala�n� program by m�l zjistit, zda existuje n�sleduj�c� kl�� registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB956572
Pokud tato polo�ka registru existuje, je v syst�mu k dispozici aktualizace zabezpe�en� 956572.

Dal�� metodu, kterou lze vyu��t ve v�ech verz�ch platformy Windows, p�edstavuj� dotazy WMI. Pomoc� n�sleduj�c�ho dotazu lze zjistit, zda je v po��ta�i nainstalov�na aktualizace zabezpe�en� 956572:

SELECT * FROM WIN32_QUICKFIXENGINEERING WHERE HotfixID like 'KB956572'

Pozn�mka: Oprava t�to chyby zabezpe�en� je ve v�choz�m nastaven� k dispozici v syst�mu Windows Vista SP2 a Windows Server 2008 SP2.

Nej�ast�j�� dotazy pro spr�vce syst�mu (COM)

Ot�zka 1: Jak lze ur�it, zda jsou ohro�eny n�kter� ze slu�eb v r�mci podniku?

Odpov�� 1: Polo�te si n�sleduj�c� dotazy:

Mus� produkt spou�t�t proces serveru COM jin� slu�by ne� NT?
Je ve v�choz�m nastaven� server COM, jen� je produktem spu�t�n, spou�t�n v kontextu ��tu s�ov� slu�by nebo m�stn� slu�by?

Je-li odpov�� na oba tyto dotazy kladn�, mohou b�t tyto servery COM potenci�ln� ohro�eny. Chcete-li pomoci zabezpe�it tyto aplikace serveru COM, obra�te se na nez�visl�ho v�robce softwaru, kter� tento produkt vlastn�. Byla-li tato aplikace vyvinuta intern�, pou�ijte postup popsan� pod nadpisem Odpov�� 1 v ��sti Nej�ast�j�� dotazy pro nez�visl� v�robce softwaru (ISV) (COM).

Nej�ast�j�� dotazy pro nez�visl� v�robce softwaru (Services.exe)

Ot�zka 1: Jak lze ur�it, zda je produkt ovlivn�n zneu�it�m popsan�m v bulletinu MS09-012?

Odpov�� 1: Polo�te si n�sleduj�c� dotazy:

Instaluje produkt slu�by, kter� jsou spou�t�ny pomoc� architektury SCM?
Jsou ve v�choz�m nastaven� slu�by, kter� produkt instaluje, spou�t�ny v kontextu ��tu s�ov� slu�by nebo m�stn� slu�by?
Je-li slu�ba spou�t�na v syst�mu Windows Vista nebo Windows Server 2008, spus�te na p��kazov�m ��dku se zv��en�mi opr�vn�n�mi n�sleduj�c� p��kaz:
SC.EXE QSIDTYPE <n�zev_slu�by>
Je hodnota SERVICE_SID_TYPE rovna NONE?

V�stup:
[SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <n�zev_slu�by> SERVICE_SID_TYPE: NONE
Je-li odpov�� na v�echny t�i dotazy kladn�, m��e b�t slu�ba potenci�ln� ohro�ena. Chcete-li pokra�ovat a zjistit, zda je slu�ba ohro�ena, pou�ijte postup vyu��vaj�c� program Process Explorer, kter� je pops�n pod nadpisem Odpov�� 1 v ��sti Nej�ast�j�� dotazy pro nez�visl� v�robce softwaru (ISV) (COM).

Ot�zka 2: Jak lze zabezpe�it slu�by instalovan� pomoc� pou�it�ch produkt�?

Odpov�� 2:

F�ze testov�n� v laborato�i
D�le jsou uvedeny kroky, kter�mi lze zv��it zabezpe�en� slu�by p�i intern�m testov�n� slu�eb p�ed distribuc� jednotliv�m z�kazn�k�m.

Nainstalujte bal��ek MSRC.
Na p��kazov�m ��dku se zv��en�mi opr�vn�n�mi spus�te n�sleduj�c� p��kaz:
SC.exe SIDTYPE <n�zev_slu�by> UNRESTRICTED
Restartujte slu�bu pomoc� spr�vce ��zen� slu�eb.
Pomoc� n�sleduj�c�ho p��kazu ov��te, zda slu�b� byl p�id�len identifik�tor SID slu�by:
SC.exe QSIDTYPE <n�zev_slu�by>
V�stup:
[SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <n�zev_slu�by> SERVICE_SID_TYPE: UNRESTRICTED
Je-li zobrazena polo�ka SERVICE_SID_TYPE = UNRESTRICTED, slu�ba z�skala identifik�tor SID.
Spus�te v�echny testovac� procedury a ov��te, zda funguj� v�echny funkce, kter� tato slu�ba poskytuje.
N�sleduj�c� posloupnost p��kaz� pom��e odebrat identifik�tor SID slu�by:
SC.exe SIDTYPE <n�zev_slu�by> NONE
SC.exe STOP <n�zev_slu�by>
SC.exe START <n�zev_slu�by>

Existuj�c� instalace
Pro z�kazn�ky, jejich� st�vaj�c� instalace vyu��vaj� ohro�en� slu�by, mus� nez�visl� v�robce softwaru publikovat aktualizaci, kter� pom��e povolit identifik�tor SID v po��ta��ch z�kazn�k�. Aktualizace by v ide�ln�m p��pad� m�la pou��vat n�sleduj�c� postup:

Zm�na n�sleduj�c�ho kl��e registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<ServiceName>\ServiceSidType = 1
Po proveden� t�to aktualizace by instala�n� program m�l restartovat syst�m.

T�m bude nastaven parametr ServiceSID Type slu�by <n�zev_slu�by> na hodnotu UNRESTRICTED.

Nov� instalace
Je t�eba, aby nez�visl� v�robce softwaru poskytl inteligentn� instala�n� program, kter� je schopen rozpoznat, zda je v syst�mu nainstalov�na aktualizace zabezpe�en� 956572, a povolit kl�� registru ServiceSidType. Pokud tato aktualizace nen� nainstalov�na, instala�n� program m��e zobrazit chybovou zpr�vu o nekompatibilit� syst�mu a pak ukon�it svou �innost.

Z�kazn�k m��e zjistit, zda je v syst�mu Windows Server 2003 nebo Windows XP nainstalov�na aktualizace zabezpe�en� 956572 pomoc� n�sleduj�c� metody:

Instala�n� program by m�l zjistit, zda existuje n�sleduj�c� kl�� registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB956572
Pokud tato polo�ka registru existuje, je v syst�mu k dispozici aktualizace zabezpe�en� 956572.

SELECT * FROM WIN32_QUICKFIXENGINEERING WHERE HotfixID like 'KB956572'

Pozn�mka: Vydan� verze syst�m� Windows Vista a Windows Server 2008 ji� obsahuj� opravu pro soubor Services.exe. Nen� pot�eba prov�d�t ��dn� zji��ov�n�.

Pozn�mka: Pokud seznamy DACL produktu obsahuj� prost�edky s identifik�torem SID ��tu slu�by, ov��te, zda pro v�echny tyto prost�edky (soubory, kl��e registru atd.) jsou seznamy DACL znovu pou�ity s identifik�torem SID slu�by. Pokud tato akce nen� provedena, m��e se st�t, �e p�i pokusu o p��stup k t�mto prost�edk�m dojde k naru�en� funk�nosti produktu.

K zobrazen� identifik�toru SID p�i�azen�ho ke slu�b� pou�ijte n�sleduj�c� p��kaz:

SC.EXE SHOWSID <n�zev_slu�by>

Identifik�tor SID slu�by je vygenerov�n pomoc� funkce hash na z�klad� n�zvu slu�by a z�stane beze zm�ny, dokud se nezm�n� n�zev slu�by.

Nej�ast�j�� dotazy pro spr�vce syst�mu (Services.exe)

Ot�zka 1: Jak lze ur�it, zda jsou ohro�eny n�kter� ze slu�eb v r�mci podniku?

Odpov�� 1: Polo�te si n�sleduj�c� dotazy:

Instaluje produkt slu�by, kter� jsou spou�t�ny pomoc� architektury SCM?
Jsou ve v�choz�m nastaven� slu�by, kter� produkt instaluje, spou�t�ny v kontextu ��tu s�ov� slu�by nebo m�stn� slu�by?

Pozn�mka: Je-li slu�ba spu�t�na v syst�mu Windows Vista nebo Windows Server 2008, spus�te na p��kazov�m ��dku se zv��en�mi opr�vn�n�mi n�sleduj�c� p��kaz k ur�en� kontextu:
SC.exe QSIDTYPE <n�zev_slu�by>
V�stup:
[SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <n�zev_slu�by> SERVICE_SID_TYPE: UNRESTRICTED
Je-li odpov�� na v�echny t�i dotazy kladn�, mohou b�t slu�by potenci�ln� ohro�eny. Chcete-li pomoci zabezpe�it tyto slu�by, obra�te se na nez�visl�ho v�robce softwaru, kter� danou slu�bu vlastn�. Byla-li slu�ba vyvinuta intern�, pou�ijte postup popsan� pod nadpisem Odpov�� 1 v ��sti Nej�ast�j�� dotazy pro nez�visl� v�robce softwaru (ISV) (COM).

Nej�ast�j�� dotazy pro nez�visl� v�robce softwaru (ISV) (WMI)

Ot�zka 1: Jak lze zjistit, zda je zprost�edkovatel rozhran� WMI pou�it� produktem spu�t�n v zabezpe�en�m re�imu?

Odpov�� 1:

Otev�ete soubory MOF zprost�edkovatel� rozhran� WMI a ov��te, zda je u n�kter�ho z nich uveden jeden z n�sleduj�c�ch model� hostov�n�:
- NetworkServiceHost
- NetworkServiceHostToSelfHost
- LocalServiceHost
- NULL (pouze v p��pad� syst�mu Windows Vista nebo Windows Server 2008)
Jako sou��st bal�ku prevence �toku zachyt�v�n� token� jsou ve v�choz�m nastaven� zabezpe�eni pouze zprost�edkovatel� rozhran� WMI dod�van� jako integrovan�. Pokud je zprost�edkovatel integrovan�m zprost�edkovatelem, m�l by b�t v ide�ln�m p��pad� po instalaci bal�ku prevence �toku zachyt�v�n� token� zabezpe�en�. Chcete-li to ov��it, zkontrolujte hodnoty registru podkl��e HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders. Je-li zprost�edkovatel zabezpe�en�, m�la by se zobrazit polo�ka podobn� n�sleduj�c�:
```
<obor_n�zv�>:_Win32Provider.Name ="<n�zev_zprost�edkovatele>" 	REG_SZ 	0.
```
Pokud je zde zprost�edkovatel uveden, bude spou�t�n v zabezpe�en�m re�imu.
Pokud n�zev zprost�edkovatele nen� uveden v kl��i registru SecureHostProviders a modelem hostov�n� je n�kter� z model� uveden�ch v kroku 1, bude tento zprost�edkovatel spu�t�n v kontextu nezabezpe�en�ho programu Wmiprvse.exe a po��ta� bude n�sledkem toho ohro�en �tokem zachyt�v�n� token�.

Ot�zka 2: Jak lze zjistit, zda je zprost�edkovatel rozhran� WMI pou�it� produktem spu�t�n v zabezpe�en�m re�imu?

Odpov�� 2:

P�ihlaste se k po��ta�i, v n�m� je produkt nainstalov�n, jako spr�vce.
St�hn�te a nainstalujte program Process Explorer z n�sleduj�c�ho webu spole�nosti Microsoft:
http://technet.microsoft.com/cs-cz/sysinternals/bb896653.aspx
(http://technet.microsoft.com/cs-cz/sysinternals/bb896653.aspx)
Spus�te program Process Explorer jako m�stn� spr�vce.
V nab�dce View (Zobrazit) p�ejd�te na polo�ku Lower Pane View (Zobrazen� doln�ho podokna) a klikn�te na p��kaz Handles (Popisova�e).
Pomoc� Spr�vce �loh identifikujte a zav�ete v�echny procesy Wmiprvse.exe, kter� jsou spu�t�ny v kontextu s�ov� nebo m�stn� slu�by.
Spus�te testovac� proceduru aplikace, kter� zpracuje dotaz WMI pomoc� ur�it�ho zprost�edkovatele rozhran� WMI. Bude vytvo�en nov� proces WMIPrvSE.exe pro obsluhu nov�ho dotazu WMI, kter� byl pr�v� zpracov�n.
Na panelu n�stroj� programu Process Explorer ov��te, zda je vybr�na mo�nost View DLLs (Zobrazit knihovny DLL).
V doln�m podokn� ov��te, zda byla knihovna DLL na�tena do nov� vytvo�en�ho souboru WMIPrvSE.exe.
Dvoj�m kliknut�m na soubor WMIPrvSE.exe otev�ete dialogov� okno Properties (Vlastnosti).
Klikn�te na kartu Security (Zabezpe�en�) a ov��te spr�vnost n�sleduj�c�ch �daj�:
- Identifik�tor SID p�ihl�en� m� tvar (S-1-5-5-****).
- Identifik�tor SID p�ihl�en� je rovn� ozna�en jako vlastn�k.
- Identifik�tor SID rozhran� WMI pro ��et m�stn� slu�by �i s�ov� slu�by bude ozna�en jako vlastn�k.
  - Identifik�tor SID rozhran� WMI pro m�stn� slu�bu:
    S-1-5-86-1544737700-199408000-2549878335-3519669259-381336952
  - Identifik�tor SID rozhran� WMI pro s�ovou slu�bu:
    S-1-5-86-615999462-62705297-2911207457-59056572-3668589837
Klikn�te na polo�ku Permission (Opr�vn�n�) a ov��te, zda v seznamu nen� uvedena s�ov� slu�ba ani m�stn� slu�ba. T�mto zp�sobem potvrd�te, �e zprost�edkovatel je spou�t�n v zabezpe�en�m re�imu.

Ot�zka 3: Jak m��e nez�visl� v�robce softwaru zabezpe�it zprost�edkovatele rozhran� WMI, kter� je produktem pou��v�n?

Odpov�� 3: Jako sou��st bal�ku prevence �toku zachyt�v�n� token� byly poskytnuty t�i kl��e registru, kter� pom�haj� nez�visl�m v�robc�m softwaru konfigurovat zprost�edkovatele rozhran� WMI.

HKLM\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders

V�ichni zprost�edkovatel� uveden� v tomto kl��i budou v�dy spou�t�ni v zabezpe�en�m re�imu.
HKLM \SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

Je-li zprost�edkovatel uveden v tomto kl��i, bude spu�t�n v nezabezpe�en�m re�imu. Tento kl�� je poskytov�n proto, aby nez�visl� v�robce softwaru mohl p�idat v�jimku pro ur�it�ho zprost�edkovatele, kter� m� p�i spu�t�n� v zabezpe�en�m re�imu pot�e s kompatibilitou. Ve v�choz�m nastaven� bude obsahovat 0 (nula) polo�ek.
HKLM \SOFTWARE\Microsoft\WBEM\CIMOM\DefaultSecuredHost

Je-li tento glob�ln� kl�� registru nastaven na hodnotu 1, spust� v�echny zprost�edkovatele rozhran� WMI v zabezpe�en�m re�imu bez ohledu na to, zda jsou uvedeni v n�kter�m z kl�� registru v��e. Spole�nost Microsoft ve v�choz�m nastaven� nenastavila tento kl�� na hodnotu 1, proto�e neotestovala chov�n� v�ech mo�n�ch aplikac� jin�ch v�robc� s t�mto nastaven�m kl��e registru.

Chcete-li pomoci zabezpe�it zprost�edkovatele rozhran� WMI, p�idejte ke kl��i HKLM\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders n�sleduj�c� hodnotu registru:

<obor_n�zv�>:_Win32Provider.Name ="<n�zev_zprost�edkovatele>" 	REG_SZ 	0.

Ov��te, zda po proveden� t�to zm�ny v�echny testovac� sc�n��e funguj� podle o�ek�v�n�.

Nej�ast�j�� dotazy pro spr�vce syst�mu (WMI)

Ot�zka 1: Jak lze ur�it, zda je zprost�edkovatel rozhran� WMI pou��van� na�� organizac� spu�t�n v nezabezpe�en�m re�imu?

Odpov�� 1:

P�ihlaste se k po��ta�i, v n�m� je produkt nainstalov�n, jako spr�vce.
St�hn�te a nainstalujte program Process Explorer z n�sleduj�c�ho webu spole�nosti Microsoft:
http://technet.microsoft.com/cs-cz/sysinternals/bb896653.aspx
(http://technet.microsoft.com/cs-cz/sysinternals/bb896653.aspx)
Spus�te program Process Explorer jako m�stn� spr�vce.
V nab�dce View (Zobrazit) p�ejd�te na polo�ku Lower Pane View (Zobrazen� doln�ho podokna) a klikn�te na p��kaz Handles (Popisova�e).
Pomoc� Spr�vce �loh identifikujte a zav�ete v�echny procesy Wmiprvse.exe, kter� jsou spu�t�ny v kontextu s�ov� nebo m�stn� slu�by.
Spus�te testovac� proceduru aplikace, kter� zpracuje dotaz WMI pomoc� ur�it�ho zprost�edkovatele rozhran� WMI. Bude vytvo�en nov� proces WMIPrvSE.exe pro obsluhu nov�ho dotazu WMI, kter� byl pr�v� zpracov�n.
Na panelu n�stroj� programu Process Explorer ov��te, zda je vybr�na mo�nost View DLLs (Zobrazit knihovny DLL).
V doln�m podokn� ov��te, zda byla knihovna DLL na�tena do nov� vytvo�en�ho souboru WMIPrvSE.exe.
Dvoj�m kliknut�m na soubor WMIPrvSE.exe otev�ete dialogov� okno Properties (Vlastnosti).
Klikn�te na kartu Security (Zabezpe�en�) a ov��te spr�vnost n�sleduj�c�ch �daj�:
1. S�ov� slu�ba nebo m�stn� slu�ba m� pln� opr�vn�n� k procesu Wmiprvse.exe.
2. Ov��te, zda identifik�tor SID p�ihl�en� (ve tvaru S-1-5-5-****) nen� ozna�en jako vlastn�k.
3. Ov��te, zda nen� vytvo�en identifik�tor SID rozhran� WMI pro ��et m�stn� slu�by �i s�ov� slu�by. To znamen�, �e je t�eba ov��it, zda nen� zobrazen v ��sti Group (Skupina).
  - Identifik�tor SID rozhran� WMI pro m�stn� slu�bu: S-1-5-86-1544737700-199408000-2549878335-3519669259-381336952
  - Identifik�tor SID rozhran� WMI pro s�ovou slu�bu: S-1-5-86-615999462-62705297-2911207457-59056572-3668589837

Ot�zka 2: Jak lze zabezpe�it ohro�en�ho zprost�edkovatele rozhran� WMI?

Odpov�� 2:

Spus�te program Editor registru.
P�ejd�te na n�sleduj�c� podkl�� registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
P�idejte hodnotu registru pro zprost�edkovatele rozhran� WMI, kter� m� b�t zabezpe�en. Pou�ijte n�sleduj�c� form�t:
```
<obor_n�zv�>:_Win32Provider.Name ="<n�zev_zprost�edkovatele>" 	REG_SZ 	0
```
Restartujte slu�bu WMI pomoc� n�sleduj�c�ch p��kaz�.
- Sc stop winmgmt
- Sc start winmgmt

Zp�t nahoru | Dejte n�m zp�tnou vazbu

INFORMACE O SOUBORECH

Verze t�to aktualizace zabezpe�en� pro n�rodn� prost�ed� Angli�tina (Spojen� st�ty) m� n�sleduj�c� nebo vy�� atributy soubor�. Data a �asy jednotliv�ch soubor� jsou uvedeny ve form�tu UTC (Coordinated Universal Time). P�i zobrazen� informac� o souborech jsou data a �as p�evedeny na m�stn� �as. Rozd�l mezi m�stn�m �asem a �asem UTC naleznete na kart� �asov� p�smo na panelu Datum a �as v okn� Ovl�dac� panely.

Pozn�mky k informac�m o souborech pro syst�my Windows XP a Windows Server 2003

Soubory t�kaj�c� se konkr�tn� verze (RTM, SPn) jsou ozna�eny ve sloupci Po�adavek na aktualizaci SP.
Krom� soubor� uveden�ch v t�chto tabulk�ch tato aktualizace softwaru nainstaluje rovn� p��slu�n� soubor katalogu zabezpe�en� (KB��slo.cat), kter� je podepsan� digit�ln�m podpisem spole�nosti Microsoft.

Pro v�echny podporovan� verze x86 syst�mu Windows XP