Zaloguj si�

Select the product you need help with

MS08-068: Luka w zabezpieczeniach protoko�u SMB umo�liwia zdalne wykonywanie kodu

Numer ID artyku�u: 957097 - Zobacz jakich produkt�w dotycz� zawarte w tym artykule porady.

WPROWADZENIE

Firma Microsoft wyda�a biuletyn zabezpiecze� MS08-068. Aby wy�wietli� pe�ny biuletyn zabezpiecze�, odwied� jedn� z nast�puj�cych witryn firmy Microsoft w sieci Web:

U�ytkownicy domowi:
http://www.microsoft.com/poland/athome/security/update/bulletins/200811.mspx
(http://www.microsoft.com/poland/athome/security/update/bulletins/200811.mspx)
Pomi� szczeg�y: Pobierz teraz aktualizacje dla komputera domowego lub przeno�nego z witryny Microsoft Update w sieci Web:
http://update.microsoft.com/microsoftupdate
(http://update.microsoft.com/microsoftupdate/)
Informatycy:
http://www.microsoft.com/poland/technet/security/bulletin/MS08-068.mspx
(http://www.microsoft.com/poland/technet/security/bulletin/MS08-068.mspx)

Jak uzyska� pomoc i obs�ug� techniczn� zwi�zan� z t� aktualizacj� zabezpiecze�

U�ytkownicy domowi mog� uzyska� nieodp�atnie pomoc techniczn�, korzystaj�c z numeru telefonu 1-866-PCSAFETY w Stanach Zjednoczonych i Kanadzie lub kontaktuj�c si� z lokalnym oddzia�em firmy Microsoft. Aby uzyska� wi�cej informacji dotycz�cych sposobu kontaktowania si� z lokalnym oddzia�em firmy Microsoft w sprawie pomocy technicznej dotycz�cej problem�w z aktualizacjami zabezpiecze�, odwied� witryn� mi�dzynarodowej pomocy technicznej firmy Microsoft w sieci Web:

http://support.microsoft.com/common/international.aspx?rdpath=4

(http://support.microsoft.com/common/international.aspx?rdpath=4)

Klienci w Ameryce P�nocnej mog� r�wnie� uzyska� natychmiastowy dost�p do nieograniczonej nieodp�atnej pomocy �wiadczonej przy u�yciu poczty e-mail lub w trybie rozmowy (czatu), odwiedzaj�c nast�puj�c� witryn� firmy Microsoft w sieci Web:

http://support.microsoft.com/oas/default.aspx?&prid=7552

(http://support.microsoft.com/oas/default.aspx?&prid=7552)

Przedsi�biorstwa mog� uzyska� pomoc techniczn� dotycz�c� aktualizacji zabezpiecze�, korzystaj�c z og�lnych danych kontaktowych pomocy technicznej.

Powr�t na g�r� | Przeka� opini�

Znane problemy dotycz�ce tej aktualizacji zabezpiecze�

Symptomy

Po zastosowaniu tej aktualizacji zabezpiecze� w aplikacjach takich jak Microsoft SQL Server czy Internetowe us�ugi informacyjne (IIS) mog� wyst�powa� b��dy przy lokalnych ��daniach uwierzytelnienia NTLM.

Przyczyna

Ten problem wyst�puje dlatego, �e program NT LAN Manager (NTLM) traktuje r�ne konwencje nazewnictwa jako jednostki zdalne, a nie lokalne. Do b��du lokalnego uwierzytelnienia mo�e doj�� w przypadku, gdy klient wyliczy i zbuforuje prawid�ow� odpowied� na wyzwanie NTLM wys�ane przez serwer w lokalnej pami�ci us�ugi �lsass�, zanim odpowied� zostanie odes�ana z powrotem do serwera. Kod serwera NTLM, kt�ry znajduje odebran� odpowied� w lokalnej pami�ci podr�cznej us�ugi �lsass�, nie honoruje ��dania uwierzytelniania i traktuje je jako atak przez powtarzanie. To dzia�anie prowadzi do b��du lokalnego uwierzytelnienia.

Rozwi�zanie

W celu rozwi�zania tego problemu nale�y wy��czy� ochron� przed powielaniem, aby umo�liwi� uwierzytelnianie zagro�onych system�w. Aby uzyska� wi�cej informacji dotycz�cych sposobu wykonania tego zadania, kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:

896861

(http://support.microsoft.com/kb/896861/ )

Podczas przegl�dania witryny sieci Web u�ywaj�cej uwierzytelniania zintegrowanego, kt�ra jest uruchomiona w �rodowisku Internetowych us�ug informacyjnych w wersji 5.1 lub 6.0, pojawia si� komunikat o b��dzie 401.1

887993

(http://support.microsoft.com/kb/887993/ )

U�ytkownicy maj� problemy z uwierzytelnianiem podczas uzyskiwania dost�pu do strony sieci Web w us�ugach IIS 6.0 lub wykonywania kwerendy w programie Microsoft SQL Server 2000 po zainstalowaniu dodatku Service Pack 1 dla systemu Windows Server 2003 (j. ang.)

926642

(http://support.microsoft.com/kb/926642/ )

Komunikat o b��dzie podczas uzyskiwania dost�pu lokalnego do serwera za pomoc� nazwy FQDN lub aliasu CNAME po zainstalowaniu dodatku Windows Server 2003 SP1: �Odmowa dost�pu� lub ��aden dostawca sieciowy nie zaakceptowa� podanej �cie�ki sieciowej� (j. ang.)

Jak wy��czy� ochron� przed powielaniem w protokole NTLM

Wa�ne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotycz�ce modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru mo�e jednak by� przyczyn� powa�nych problem�w. Dlatego nale�y uwa�nie wykonywa� podane kroki. Aby zapewni� dodatkow� ochron�, przed zmodyfikowaniem rejestru nale�y wykona� jego kopi� zapasow�. Dzi�ki temu b�dzie mo�na przywr�ci� rejestr w wypadku wyst�pienia problemu. Aby uzyska� wi�cej informacji na temat wykonywania kopii zapasowej i przywracania rejestru, kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:

322756

(http://support.microsoft.com/kb/322756/ )

Jak wykonywa� kopi� zapasow� rejestru, edytowa� go i przywraca� w systemach Windows XP i Windows Server 2003

Aby wy��czy� ochron� przed powielaniem w protokole NTLM, nale�y zmodyfikowa� na komputerze klienckim odpowiedni klucz rejestru. W tym celu wykonaj na komputerze klienckim nast�puj�ce czynno�ci:

Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otw�rz, a nast�pnie kliknij przycisk OK.
Znajd� i kliknij nast�puj�cy podklucz rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
W menu Edycja wska� polecenie Nowy, a nast�pnie kliknij polecenie Warto�� DWORD.
Wpisz DisableLoopbackCheck jako nazw� warto�ci DWORD, a nast�pnie naci�nij klawisz ENTER.
Kliknij prawym przyciskiem myszy warto�� DisableLoopbackCheck, a nast�pnie kliknij polecenie Modyfikuj.
W polu Dane warto�ci wpisz 1, a nast�pnie kliknij przycisk OK.
Zamknij Edytor rejestru, a nast�pnie ponownie uruchom komputer.

Uwaga Aby ta zmiana odnios�a skutek, nale�y ponownie uruchomi� komputer.

Skutek wy��czenia ochrony przed powielaniem w protokole NTLM

Poniewa� ochrona przed powielaniem w protokole NTLM wchodzi w sk�ad poprawki eliminuj�cej luki w zabezpieczeniach protoko�u SMB, wy��czenie ochrony przed powielaniem w protokole NTLM w danym systemie przez ustawienie warto�ci DisableLoopbackCheck na 1 spowoduje, �e system znajdzie si� zn�w w stanie zagro�onym. Dlatego zdecydowanie zaleca si� u�ycie w razie potrzeby klucza rejestru BackConnectionHostNames.

Jak ponownie w��czy� ochron� przed powielaniem w protokole NTLM

Aby ponownie w��czy� ochron� przed powielaniem w protokole NTLM, nale�y zmodyfikowa� na komputerze klienckim odpowiedni wpis w rejestrze. W tym celu wykonaj na komputerze klienckim nast�puj�ce czynno�ci:

Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otw�rz, a nast�pnie kliknij przycisk OK.
Znajd� i kliknij nast�puj�cy podklucz rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Kliknij prawym przyciskiem myszy warto�� DisableLoopbackCheck, a nast�pnie kliknij polecenie Modyfikuj.
W polu Dane warto�ci wpisz 0, a nast�pnie kliknij przycisk OK.
Zamknij Edytor rejestru, a nast�pnie ponownie uruchom komputer.

Uwaga Aby ta zmiana odnios�a skutek, nale�y ponownie uruchomi� komputer.

Jak wy��czy� ochron� przed powielaniem w protokole NTLM dla okre�lonej nazwy SPN

Ochron� przed powielaniem w protokole NTLM mo�na wy��czy� dla okre�lonej nazwy SPN, kt�ra powoduje niepowodzenie uwierzytelniania. W tym celu wykonaj na komputerze klienckim nast�puj�ce czynno�ci:

Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otw�rz, a nast�pnie kliknij przycisk OK.
Znajd� i kliknij nast�puj�cy podklucz rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
W menu Edycja wska� polecenie Nowy, a nast�pnie kliknij polecenie Warto�� wieloci�gu.
Wpisz BackConnectionHostNames jako nazw� warto�ci wieloci�gu, a nast�pnie naci�nij klawisz ENTER.

Uwaga Je�li wpis rejestru BackConnectionHostNames jest typu REG_DWORD, nale�y usun�� ten wpis rejestru.
Kliknij prawym przyciskiem myszy warto�� BackConnectionHostNames, a nast�pnie kliknij polecenie Modyfikuj.
W polu Dane warto�ci wpisz alias CNAME lub DNS u�ywany dla udzia��w lokalnych na komputerze, a nast�pnie kliknij przycisk OK.

Uwaga Ka�d� nazw� hosta nale�y wpisa� w osobnym wierszu.
Zamknij Edytor rejestru, a nast�pnie ponownie uruchom komputer.

Uwaga Aby ta zmiana odnios�a skutek, nale�y ponownie uruchomi� komputer.

Skutek wy��czenia ochrony przed powielaniem w protokole NTLM dla okre�lonej nazwy SPN

Poniewa� ochrona przed powielaniem w protokole NTLM wchodzi w sk�ad poprawki eliminuj�cej luki w zabezpieczeniach protoko�u SMB, wy��czenie ochrony przed powielaniem w protokole NTLM dla okre�lonej g��wnej nazwy us�ugi (SPN) w danym systemie spowoduje, �e system znajdzie si� zn�w w stanie zagro�onym dla okre�lonej nazwy SPN, dla kt�rej ochrona przed powielaniem zostanie wy��czona.

Jak ponownie w��czy� ochron� przed powielaniem w protokole NTLM dla okre�lonej nazwy SPN

W tym celu wykonaj na komputerze klienckim nast�puj�ce czynno�ci:

Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otw�rz, a nast�pnie kliknij przycisk OK.
Znajd� i kliknij nast�puj�cy podklucz rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
Kliknij prawym przyciskiem myszy warto�� BackConnectionHostNames, a nast�pnie kliknij polecenie Modyfikuj.
W polu Dane warto�ci usu� alias CNAME lub DNS u�ywany dla udzia��w lokalnych na komputerze, a nast�pnie kliknij przycisk OK.

Uwaga Ka�d� nazw� hosta nale�y wpisa� w osobnym wierszu.
Zamknij Edytor rejestru, a nast�pnie ponownie uruchom komputer.

Uwaga Aby ta zmiana odnios�a skutek, nale�y ponownie uruchomi� komputer.

Informacje o plikach

Wersja angielskoj�zyczna (Stany Zjednoczone) tej aktualizacji oprogramowania instaluje pliki, kt�rych atrybuty wymieniono w poni�szych tabelach. Daty i godziny odpowiadaj�ce tym plikom zosta�y podane w formacie uniwersalnego czasu koordynowanego (UTC). Daty i godziny odpowiadaj�ce tym plikom s� wy�wietlane na komputerze lokalnym w formacie czasu lokalnego z uwzgl�dnieniem bie��cego ustawienia czasu letniego. Warto�ci daty i godziny mog� ulec zmianie w wyniku wykonania pewnych operacji na plikach.