MS09-012: Beskrivning av säkerhetsuppdatering för Windows Service Isolation: April 2009

• Hemanvändare:
  http://www.microsoft.com/sverige/protect/computer/updates/bulletins/200904.mspx

  (http://www.microsoft.com/sverige/protect/computer/updates/bulletins/200904.mspx)
  Hoppa över detaljerna: Hämta uppdateringarna till din hemdator eller bärbara dator från webbplatsen Microsoft Update nu:
  http://update.microsoft.com/microsoftupdate/

  (http://update.microsoft.com/microsoftupdate/)
• IT-proffs:
  http://www.microsoft.com/technet/security/bulletin/ms09-012.mspx

  (http://www.microsoft.com/technet/security/bulletin/ms09-012.mspx)

Här finns hjälp och support för säkerhetsuppdateringen

Tillbaka till början | Ge feedback

Kända problem med den här säkerhetsuppdateringen

• Symptom
  När du har installerat den här uppdateringen på en server som använder mer än fyra processorkärnor och som kör Microsoft ISA Server Standard, startar inte Microsoft ISA Server Control-tjänsten. Dessutom loggas händelse-ID 14109 i programloggen:
  
  Orsak
  Problemet kan uppstå om en snabbkorrigering som gavs ut efter den 7 februari 2007 installerades innan den här säkerhetsuppdateringen installerades. Problemet beror på en ändring i det sätt som Windows rapporterar antalet tillgängliga processorer. Ändringen infördes i snabbkorrigering 932730. Ändringen medför att Windows Server 2003 rapporterar informationen på exakt samma sätt som Windows Vista och Windows Server 2008. När Windows rapporterar mer än fyra processorkärnor tolkar ISA Server Control-tjänsten detta som mer än fyra processorer. Detta utlöser en varning och därefter avslutas Microsoft ISA Server Control-tjänsten samt eventuella beroende tjänster.
  
  Obs! Snabbkorrigering 932730 medföljer inte något Windows Server 2003 Service Pack. Om du vill veta mer om snabbkorrigering 932730 klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
  932370

  (http://support.microsoft.com/kb/932370/ )

  Antalet fysiska hypertrådsaktiverade processorer eller antalet fysiska flerkärniga processorer rapporteras felaktigt i Windows Server 2003 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
  Mer information om hur du löser det här problemet finns på följande Microsoft-webbsida:
  http://blogs.technet.com/isablog/archive/2009/04/18/ms09-012-and-isa-server-standard-edition-14109-failures.aspx

  (http://blogs.technet.com/isablog/archive/2009/04/18/ms09-012-and-isa-server-standard-edition-14109-failures.aspx)
  Du löser problemet för ISA Server 2004 genom att installera den samlade snabbkorrigeringsfilen 970454. Om du vill veta mer om det här problemet klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
  970454

  (http://support.microsoft.com/kb/970454/ )

  Beskrivning av snabbkorrigeringspaket för ISA Server 2004: 2 juni 2009 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
  Lös det här problemet för ISA Server 2006 genom att installera den samlade snabbkorrigeringen 970441. Om du vill veta mer om det här problemet klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
  970441

  (http://support.microsoft.com/kb/970441/ )

  KORRIGERING: Tjänsten ISA Server Control startar inte när du har installerat uppdatering MS09-012 på en dator som kör Windows Server 2003 och som har fler än 4 processorkärnor (Länken kan leda till en webbplats som är helt eller delvis på engelska)
  
  Obs! Ingen korrigeringsfil har getts ut för ISA Server 2000 eftersom det inte längre finns någon mainstream-support för ISA Server 2000 och problemet inte utgör något säkerhetshot.
• När du har installerat den här uppdateringen och ett tidigare utgivet operativsystem därefter uppgraderas på plats till ett nytt operativsystem, bevaras inte ändringar som gjorts av användare i följande registerundernycklar:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\DefaultSecuredHost

  
  
  

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

  
  
  

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
  Problemet kan uppstå i följande uppgraderingssituationer:
  • Windows XP till Windows Vista
  • Windows Server 2003 till Windows Server 2008
  • Windows 2000 Server till Windows Server 2003
  Problemet uppstår inte i följande uppgraderingssituationer:
  • Windows Vista till Windows 7
  • Windows Server 2008 till nyare Service Pack eller till framtida serverbaserade operativsystem
  Du kan undvika problemet genom att säkerhetskopiera undernycklarna innan du utför uppgraderingen på plats. När uppgraderingen är klar och när systemet har korrigerats med säkerhetsuppdateringar återinför du de säkerhetskopierade undernycklarna.

Vanliga frågor och svar för oberoende programleverantörer (ISV) (COM)

1. Måste din produkt starta en COM-serverprocess som inte är en NT-tjänst?
2. Körs som standard den COM-server som din produkt startar i kontexten för Nätverkstjänst- eller Lokaltjänst-konto?

1. Hämta och installera Process Explorer från följande Microsoft-webbplats:
   http://technet.microsoft.com/sv-se/sysinternals/bb896653.aspx

   (http://technet.microsoft.com/sv-se/sysinternals/bb896653.aspx)
2. Kör Process Explorer som lokal administratör.
3. Klicka på Visa, peka på Nedre fönsterrutan, och klicka på Referenser.
4. Klicka på önskad serverprocess och leta i den nedre fönsterrutan efter Typ = Token.
5. Kör alla testpaket för produkten.
6. Titta i den nedre rutan efter alla tokens som ägs för att se om någon systemtoken har fångats upp.

1. Hämta och installera felsökningsverktygen för Windows från följande Microsoft-webbplats:
   http://www.microsoft.com/whdc/devtools/debugging/default.mspx

   (http://www.microsoft.com/whdc/devtools/debugging/default.mspx)
2. Kör WinDBG.exe som lokal administratör.
3. Klicka på Arkiv och sedan på Kernel-felsökning så startar det lokala kernelfelsökningsverktyget.
4. Klicka på Arkiv och sedan på Ansluta till en process.
5. Klicka på önskad serverprocess och klicka på OK för att ansluta till serverprocessen.
6. Ange sökvägen till felsökningssymbolen enligt följande. Ersätt din nedanförliggande arkivsökväg med NedanförliggandeArkiv. Till exempel C:\Symbols.
   
   SRV*NedanförliggandeArkiv*http://msdl.microsoft.com/download/symbols
7. Dumpa processens tokeninformation.
   Hämta tokenadressen från utdata för !process, och använd sedan kommandot dt nt!_TOKEN för att visa en lista över de enskilda fälten i TOKEN-strukturen.
8. Titta i fältet ImpersonationLevel för token.

• Installera MSRC-paketet.
• Gör följande konfigurationsändring för COM-servern:
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{APPIDGUID} REG_DWORD AppIDFlags 0x2 /* Exempel på användning av registervärdet AppIDFlags HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{60EE1F45-C0DD-4A1F-AA44-D97424600A16} REG_DWORD AppIDFlags 0x2 */
  Obs! Det krävs lokal administratörsbehörighet för att göra den här ändringen.
  
  Om en NS/LS COM-server som innehåller privilegierade tokens inte är en NT-tjänst eller inte är en Kör som-COM-server måste den konverteras till en av de här konfigurationerna för att förhindra sårbarheten.

• Installationsprogrammet bör fastställa om följande registernyckel finns:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB956572
  Om den här registerposten finns är säkerhetsuppdatering 956572 installerad.

Vanliga frågor och svar för systemadministratörer (COM)

1. Måste din produkt starta en COM-serverprocess som inte är en NT-tjänst?
2. Körs som standard den COM-server som din produkt startar i kontexten för Nätverkstjänst- eller Lokaltjänst-konto?

Vanliga frågor och svar för oberoende programleverantörer (Services.exe)

1. Installerar din produkt tjänster som startas med SCM-ramverket?
2. Körs som standard de tjänster som din produkt installerar i kontexten för Nätverkstjänst- eller Lokaltjänst-konto?
3. Om tjänsten körs på Windows Vista eller på Windows Server 2008 kör du följande kommando från en upphöjd kommandotolk:
   SC.EXE QSIDTYPE <Namn på tjänst>
   Har SERVICE_SID_TYPE värdet NONE?
   
   Utdata:

   [SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <Namn på tjänst> SERVICE_SID_TYPE: NONE 

   Om svaret på alla tre frågor är ja kan din tjänst vara i riskzonen. Fortsätt att ta reda på om din tjänst är sårbar genom att följa Process Explorer-stegen i Svar 1 i avsnittet "Vanliga frågor och svar för oberoende programleverantörer (ISV) (COM)".

• Installera MSRC-paketet.
• Kör följande kommando från en upphöjd kommandotolk:
  SC.exe SIDTYPE <Namn på tjänst> UNRESTRICTED
• Starta om tjänsten från tjänstkontrollhanteraren.
• Kontrollera att tjänsten har fått ett tjänst-SID genom att köra följande kommando:
  SC.exe QSIDTYPE <Namn på tjänst>
  Utdata:

  [SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <Namn på tjänst> SERVICE_SID_TYPE: UNRESTRICTED 

• Om SERVICE_SID_TYPE = UNRESTRICTED visas har tjänsten fått ett tjänst-SID.
• Kör alla testfall för att säkerställa att ingen funktion som tillhandahålls av tjänsten är skadad.
• Följande kommandosekvens tar bort tjänstens tjänst-SID:
  SC.exe SIDTYPE <Namn på tjänst> NONE
  SC.exe STOP <Namn på tjänst>
  SC.exe START <Namn på tjänst>

1. Ändra följande registernyckel:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<ServiceName>\ServiceSidType = 1
2. Efter den här uppdateringen bör installationsprogrammet starta om systemet.

• Installationsprogrammet bör fastställa om följande registernyckel finns:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB956572
  Om den här registerposten finns är säkerhetsuppdatering 956572 installerad.

Vanliga frågor och svar för systemadministratörer (Services.exe)

1. Installerar din produkt tjänster som startas med SCM-ramverket?
2. Körs som standard de tjänster som din produkt installerar i kontexten för Nätverkstjänst- eller Lokaltjänst-konto?
   
   Obs! Om tjänsten körs på Windows Vista eller på Windows Server 2008 kör du följande kommando från en upphöjd kommandotolk för att fastställa kontexten:
   SC.exe QSIDTYPE <Namn på tjänst>
   Utdata:

   [SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <Namn på tjänst> SERVICE_SID_TYPE: UNRESTRICTED 

   Om svaret på alla tre frågor är ja kan dina tjänster vara i riskzonen. Kontakta den ISV som äger tjänsten för att få hjälp att skydda tjänsterna. Om tjänsten har utvecklats internt följer du anvisningarna i Svar 1 i avsnittet "Vanliga frågor och svar för oberoende programleverantörer (ISV) (COM)".

Vanliga frågor och svar för oberoende programleverantörer (ISV) (WMI)

1. Öppna MOF-filerna för WMI-providrarna och kontrollera om någon av dem har någon av följande värdmodeller:
   • NetworkServiceHost
   • NetworkServiceHostToSelfHost
   • LocalServiceHost
   • NULL (endast för Windows Vista eller Windows Server 2008)
2. Endast medföljande WMI-providrar är skyddade som standard, som en del av tokenkidnappningspaketet. Om din provider medföljde paketet ska den vara skyddad efter att tokenkidnappningspaketet har installerats. Verifiera det genom att kontrollera registervärdena under undernyckeln HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders Om en provider är skyddad visas en post liknande följande:

   <Namnområde>:_Win32Provider.Name ="<providernamn>" 	REG_SZ 	0.

3. Om providern står i listan kommer den att starta i skyddat läge.
4. Om providerns namn inte är med i listan under registernyckeln SecureHostProviders och värdmodellen är en av modellerna i listan i steg 1, startar providern i en oskyddad Wmiprvse.exe och gör datorn sårbar för tokenkidnappningangreppet.

1. Logga in på en dator där din produkt är installerad som administratör.
2. Hämta och installera Process Explorer från följande Microsoft-webbplats:
   http://technet.microsoft.com/sv-se/sysinternals/bb896653.aspx

   (http://technet.microsoft.com/sv-se/sysinternals/bb896653.aspx)
3. Kör Process Explorer som lokal administratör.
4. Klicka på Visa, peka på Nedre fönsterrutan, och klicka på Referenser.
5. Använd Aktivitetshanteraren för att identifiera och stänga alla Wmiprvse.exe-processer som körs i kontexten för Nätverkstjänst eller Lokaltjänst.
6. Kör ett testfall för programmet som kör en WMI-fråga med en specifik WMI-provider. En ny WMIPrvSE.exe-process skapas som hanterar den nya WMI-frågan du just kört.
7. I verktygsfältet i Process Explorer ser du till att du har valt Visa DLL:er.
8. Titta i den nedre rutan och se efter om din DLL har lästs in i den nya WMIPrvSE.exe.
9. Dubbelklicka på WMIPrvSE.exe för att öppna dialogrutan Egenskaper.
10. Klicka på fliken Säkerhet och se till att följande är korrekt:
    • Inloggnings-SID har formatet (S-1-5-5-****).
    • Inloggnings-SID är också markerat som ägaren.
    • WMI-SID för ServiceAcccount {Local Service|Network Service} markeras som ägare.
      • WMI-SID för Lokal tjänst:
        S-1-5-86-1544737700-199408000-2549878335-3519669259-381336952
      • WMI-SID för Nätverkstjänst:
        S-1-5-86-615999462-62705297-2911207457-59056572-3668589837
11. Klicka på Behörighet och kontrollera att varken Nätverkstjänst eller Lokal tjänst kommer upp i listan. Detta bekräftar att din provider nu startar i skyddat läge.

• HKLM\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
  
  Alla providers i listan under den här nyckeln körs alltid i skyddat läge
• HKLM \SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
  
  Om en provider finns i listan under nyckeln körs den i oskyddat läge. Den här nyckeln tillhandahålls för att en ISV ska kunna lägga till ett undantag för en viss provider som har kompatibilitetsproblem när den körs i säkert läge. Som standard innehåller den 0 (noll) poster.
• HKLM \SOFTWARE\Microsoft\WBEM\CIMOM\DefaultSecuredHost
  
  Om den globala registernyckeln är inställd på 1 startar alla WMI-providers på datorn i skyddat läge oavsett om de finns med i listan eller inte för någon av registernycklarna ovan. Microsoft har inte ställt in det här på 1 som standard eftersom vi inte har testat funktionen hos alla potentiella tredjepartsprogram med registernyckeln inställd på 1.

<Namnområde>:_Win32Provider.Name ="<providernamn>" 	REG_SZ 	0.

Vanliga frågor och svar för systemadministratörer (WMI)

1. Logga in på en dator där din produkt är installerad som administratör.
2. Hämta och installera Process Explorer från följande Microsoft-webbplats:
   http://technet.microsoft.com/sv-se/sysinternals/bb896653.aspx

   (http://technet.microsoft.com/sv-se/sysinternals/bb896653.aspx)
3. Kör Process Explorer som lokal administratör.
4. Klicka på Visa, peka på Nedre fönsterrutan, och klicka på Referenser.
5. Använd Aktivitetshanteraren för att identifiera och stänga alla Wmiprvse.exe-processer som körs i kontexten för Nätverkstjänst eller Lokaltjänst.
6. Kör ett testfall för programmet som kör en WMI-fråga med en specifik WMI-provider. En ny WMIPrvSE.exe-process skapas som hanterar den nya WMI-frågan du just kört.
7. I verktygsfältet i Process Explorer ser du till att du har valt Visa DLL:er.
8. Titta i den nedre rutan och se efter om din DLL har lästs in i den nya WMIPrvSE.exe.
9. Dubbelklicka på WMIPrvSE.exe för att öppna dialogrutan Egenskaper.
10. Klicka på fliken Säkerhet och se till att följande är korrekt:
    1. "Nätverkstjänst" eller "Lokal tjänst" har fullständiga behörigheter för Wmiprvse.exe-processen.
    2. Se till att inloggnings-SID (i formatet S-1-5-5-**** ) inte är markerat som ägare.
    3. Se till att WMI-SID för ServiceAcccount {Local Service|Network Service} inte har genererats, det vill säga att det inte visas under "Grupp".
       • WMI-SID för Lokal tjänst: S-1-5-86-1544737700-199408000-2549878335-3519669259-381336952
       • WMI-SID för Nätverkstjänst: S-1-5-86-615999462-62705297-2911207457-59056572-3668589837

1. Öppna Registereditorn.
2. Gå till följande registerundernyckel:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
3. Lägg till ett registervärde för den WMI-provider som ska skyddas. Använd följande format:

   <Namnområde>:_Win32Provider.Name ="<providernamn>" 	REG_SZ 	0

4. Starta om WMI-tjänsten genom att köra följande kommandon.
   • Sc stop winmgmt
   • Sc start winmgmt

Tillbaka till början | Ge feedback

• De filer som gäller en viss milstolpe (RTM, SPn) anges i kolumnen "SP requirement".
• Förutom filerna i dessa tabeller installerar denna programuppdatering även en tillhörande säkerhetskatalogfil (KBnummer.cat), som är signerad med en digital Microsoft-signatur.

• Vilka filer som hör till en viss produkt eller milstolpe (RTM, SPn) framgår av filversionsnumren i följande tabell.
  Dölj tabellenVisa tabellen

  Version	Produkt	Milstolpe	Verksamhetsgren
  6.0.6000.20xxx	Windows Vista	RTM	LDR
  6.0.6001.22xxx	Windows Vista SP1 och Windows Server 2008 SP1	SP1	LDR

• Service Pack 1 ingår i den ursprungliga slutversionen av Windows Server 2008. Därför gäller RTM-milstolpefiler endast Windows Vista. RTM-milstolpefiler har versionsnumret 6.0.0000.xxxxxx.
• MANIFEST- (.manifest) och MUM-filerna (.mum) som installeras för de olika miljöerna anges separat. MUM- och MANIFEST-filer, samt tillhörande säkerhetskatalogfiler (.cat), är kritiska för upprätthållande av den uppdaterade komponentens tillstånd. Säkerhetskatalogfilerna (attribut anges inte) signeras med en digital Microsoft-signatur.