MS08-068: SMB'deki güvenlik açýðý uzaktan kod yürütülmesine izin verebilir

Bu güvenlik güncelleþtirmesiyle ilgili bilinen sorunlar

Belirtiler

Bu güvenlik güncelleþtirmesini uyguladýktan sonra, Microsoft SQL Server veya Internet Information Services (IIS) gibi uygulamalar yerel NTLM kimlik doðrulama istekleri yaptýklarýnda baþarýsýz olabilir.

Neden

NT LAN Manager (NTLM) farklý adlandýrma kurallarýna yerel varlýk yerine uzak varlýk iþlemi yaptýðý için, bu sorunla karþýlaþýlýr. Ýstemci, sunucu tarafýndan gönderilen NTLM sýnamasýna doðru yanýtý hesaplayýp sunucuya geri göndermeden önce yerel "lsass" belleðinde önbelleðe aldýðýnda, yerel kimlik doðrulama hatasý oluþabilir. NTLM sunucu kodu alýnan yanýtý yerel "lsass" önbelleðinde bulduðunda, bu kod kimlik doðrulama isteðini dikkate almaz ve ona yeniden gönderme saldýrýsý gibi davranýr. Bu davranýþ yerel kimlik doðrulama hatasýna neden olur.

Çözüm

Bu sorunu çözmek için, etkilenen sistemlerin kimliðinin doðrulanabilmesi amacýyla yansýma korumasýný devre dýþý býrakmanýz gerekir. Bunu yapma hakkýnda daha fazla bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

NTLM yansýma korumasý nasýl devre dýþý býrakýlýr

Önemli Bu bölümde, yöntemde veya görevde kayýt defterinin nasýl deðiþtirileceðini anlatan adýmlar bulunmaktadýr. Ancak kayýt defterini hatalý olarak deðiþtirirseniz önemli sorunlar oluþabilir. Bu nedenle, bu adýmlarý dikkatlice uyguladýðýnýzdan emin olun. Ek koruma için, kayýt defterini deðiþtirmeden önce yedeklemeyi unutmayýn. Bir sorun oluþursa kayýt defterini daha sonra geri yükleyebilirsiniz. Kayýt defterini yedekleme ve geri yükleme hakkýnda daha fazla bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:
NTLM yansýma korumasýný devre dýþý býrakmak için, istemci bilgisayarda bir kayýt defteri anahtarýný deðiþtirmeniz gerekir. Bunu yapmak için, istemci bilgisayarda aþaðýdaki adýmlarý izleyin.

1. Baþlat'ý týklatýn, Çalýþtýr'ý týklatýn, Aç kutusuna regedit yazýn ve Tamam'ý týklatýn.
2. Kayýt defterinde aþaðýdaki alt anahtarý bulun ve týklatýn:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Düzen menüsünde Yeni'nin üzerine gelin ve sonra DWORD Deðeri'ni týklatýn.
4. DWORD adý olarak DisableLoopbackCheck yazýn ve ENTER tuþuna basýn.
5. DisableLoopbackCheck öðesini sað týklatýn ve ardýndan Deðiþtir'i týklatýn.
6. Deðer verisi kutusuna 1 yazýn ve Tamam'ý týklatýn.
7. Kayýt Defteri Düzenleyicisi'nden çýkýn ve bilgisayarý yeniden baþlatýn.

Not Bu deðiþikliðin etkili olmasý için bilgisayarý yeniden baþlatmanýz gerekir.

NTLM yansýma korumasýný devre dýþý býrakmanýn etkisi

NTLM yansýma korumasý bu SMB güvenlik açýðýna yönelik düzeltmenin bir parçasý olduðu için, etkilenen bir sistemde DisableLoopbackCheck deðerini 1 olarak ayarlayarak NTLM yansýma korumasýný devre dýþý býrakmak sistemi savunmasýz bir duruma sokar. Bu nedenle, gerekirse BackConnectionHostNames kayýt defteri anahtarýný kullanmanýz önerilir.

NTLM yansýma korumasý nasýl yeniden etkinleþtirilir

NTLM yansýma korumasýný yeniden etkinleþtirmek için, istemci bilgisayarda bir kayýt defteri giriþini deðiþtirmeniz gerekir. Bunu yapmak için, istemci bilgisayarda aþaðýdaki adýmlarý izleyin.

1. Baþlat'ý týklatýn, Çalýþtýr'ý týklatýn, Aç kutusuna regedit yazýn ve Tamam'ý týklatýn.
2. Kayýt defterinde aþaðýdaki alt anahtarý bulun ve týklatýn:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. DisableLoopbackCheck öðesini sað týklatýn ve ardýndan Deðiþtir'i týklatýn.
4. Deðer verisi kutusuna 0 yazýn ve Tamam'ý týklatýn.
5. Kayýt Defteri Düzenleyicisi'nden çýkýn ve bilgisayarý yeniden baþlatýn.

Not Bu deðiþikliðin etkili olmasý için bilgisayarý yeniden baþlatmanýz gerekir.

NTLM yansýma korumasý belirli bir SPN için nasýl devre dýþý býrakýlýr

Ýlgili kimlik doðrulamasýnýn kopmasýna neden olan belirli bir Hizmet Asýl Adý (SPN) için NTLM yansýma korumasýný devre dýþý býrakabilirsiniz. Bunu yapmak için, istemci bilgisayarda aþaðýdaki adýmlarý izleyin.

1. Baþlat'ý týklatýn, Çalýþtýr'ý týklatýn, Aç kutusuna regedit yazýn ve Tamam'ý týklatýn.
2. Kayýt defterinde aþaðýdaki alt anahtarý bulun ve týklatýn:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
3. Düzen menüsünde Yeni'nin üzerine gelin ve Çok Dizeli Deðer'i týklatýn.
4. Çok Dizeli Deðer'in adý olarak BackConnectionHostNames yazýn ve ENTER tuþuna basýn.
   
   Not BackConnectionHostNames kayýt defteri giriþi REG_DWORD deðeri olarak bulunuyorsa, BackConnectionHostNames kayýt defteri giriþini silmeniz gerekir.
5. BackConnectionHostNames öðesini sað týklatýn ve ardýndan Deðiþtir'i týklatýn.
6. Deðer verisi kutusunda, bilgisayarda yerel paylaþýmlar için kullanýlan CNAME'i veya DNS diðer adýný yazdýktan sonra Tamam'ý týklatýn.
   
   Not Her ana bilgisayar adýný ayrý bir satýra yazmanýz gerekir.
7. Kayýt Defteri Düzenleyicisi'nden çýkýn ve bilgisayarý yeniden baþlatýn.

Not Bu deðiþikliðin etkili olmasý için bilgisayarý yeniden baþlatmanýz gerekir.

NTLM yansýma korumasýný belirli bir SPN için devre dýþý býrakmanýn etkisi

NTLM yansýma korumasý bu SMB güvenlik açýðýna yönelik düzeltmenin bir parçasý olduðu için, etkilenen bir sistemde NTLM yansýma korumasýný devre dýþý býrakmak, bu korumanýn devre dýþý býrakýldýðý SPN için sistemi savunmasýz bir duruma sokabilir.

NTLM yansýma korumasý belirli bir SPN için nasýl yeniden etkinleþtirilir

Bunu yapmak için, istemci bilgisayarda aþaðýdaki adýmlarý izleyin.

1. Baþlat'ý týklatýn, Çalýþtýr'ý týklatýn, Aç kutusuna regedit yazýn ve Tamam'ý týklatýn.
2. Kayýt defterinde aþaðýdaki alt anahtarý bulun ve týklatýn:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
3. BackConnectionHostNames öðesini sað týklatýn ve ardýndan Deðiþtir'i týklatýn.
4. Deðer verisi kutusunda, bilgisayarda yerel paylaþýmlar için kullanýlan CNAME'i veya DNS diðer adýný sildikten sonra Tamam'ý týklatýn.
   
   Not Her ana bilgisayar adýný ayrý bir satýra yazmanýz gerekir.
5. Kayýt Defteri Düzenleyicisi'nden çýkýn ve bilgisayarý yeniden baþlatýn.

Not Bu deðiþikliðin etkili olmasý için bilgisayarý yeniden baþlatmanýz gerekir.

Dosya bilgileri

Bu yazýlým güncelleþtirmesinin Ýngilizce (ABD) sürümü, aþaðýdaki tablolarda listelenen özniteliklere sahip dosyalarý yükler. Bu dosyalarla ilgili tarihler ve saatler UTC (eþgüdümlü evrensel saat) kullanýlarak listelenmiþtir. Bu dosyalarýn tarih ve saatleri, yerel bilgisayarýnýzda yerel saatinize ve geçerli gün ýþýðýndan yararlanma saatine (DST) göre görüntülenir. Bu tarih ve saatler ayrýca dosyalarda belirli iþlemleri gerçekleþtirdiðinizde deðiþebilir.

Microsoft Windows 2000 Service Pack 4'ün tüm desteklenen sürümleri

Windows XP ve Windows Server 2003 dosya bilgisi notlarý

• Belirli bir aþama (RTM, SPn) ve hizmet dalý (QFE, GDR) için geçerli olan dosyalar "SP gereksinimi" ve "Hizmet dalý" sütunlarýnda belirtilmiþtir.
• GDR hizmet dallarý yalnýzca yaygýn olarak karþýlaþýlan kritik sorunlarý gidermek üzere kapsamlý olarak yayýmlanmýþ düzeltmeleri içerir. QFE hizmet dallarý, kapsamlý olarak yayýmlanan düzeltmelerden baþka düzeltmeler de içerir.
• Bu tablolarda listelenen dosyalarýn yaný sýra, bu yazýlým güncelleþtirmesi, bir Microsoft dijital imzasý bulunan iliþkili bir güvenlik kataloðu dosyasý da yükler (BBnumara.cat).

Windows XP'nin tüm desteklenen x86 tabanlý sürümleri

Windows Server 2003'ün ve Windows XP Professional x64 Edition'ýn tüm desteklenen x64 tabanlý sürümleri

Windows Server 2003'ün tüm desteklenen x86 tabanlý sürümleri

Windows Server 2003'ün tüm desteklenen IA-64 tabanlý sürümleri

Windows Vista ve Windows Server 2008 dosya bilgileriyle ilgili notlar

• Belirli bir ürün, aþama (RTM, SPn) ve hizmet dalý (LDR, GDR) için geçerli olan dosyalar, aþaðýdaki tabloda gösterildiði þekilde dosya sürümü numaralarý incelenerek belirlenebilir.
  Bu tabloyu kapaBu tabloyu aç

  Sürüm	Ürün	Aþama	Hizmet dalý
  6.0.600 0.16xxx	Windows Vista	RTM	GDR
  6.0.600 0.20xxx	Windows Vista	RTM	LDR
  6.0.600 1.18xxx	Windows Vista SP1 ve Windows Server 2008 SP1	SP1	GDR
  6.0.600 1.22xxx	Windows Vista SP1 ve Windows Server 2008 SP1	SP1	LDR

• Service Pack 1, Windows Server 2008'in yayýmlanan sürümüyle tümleþiktir. Dolayýsýyla, RTM aþama dosyalarý yalnýzca Windows Vista'ya uygulanýr. RTM aþama dosyalarý, 6.0.0000.xxxxxx sürüm numarasýna sahiptir.
• GDR hizmet dallarý yalnýzca yaygýn olarak karþýlaþýlan kritik sorunlarý gidermek üzere kapsamlý olarak yayýmlanmýþ düzeltmeleri içerir. LDR hizmet dallarý, kapsamlý olarak yayýmlanan düzeltmelerden baþka düzeltmeler de içerir.
• Her çalýþma ortamý için yüklenen MANIFEST dosyalarý (.manifest) ve MUM dosyalarý (.mum) ayrý olarak listelenmektedir. MUM ve MANIFEST dosyalarýnýn yaný sýra bunlarýn iliþkili güvenlik kataloðu (.cat) dosyalarý, güncelleþtirilmiþ bileþenin durumunu korumak açýsýndan kritik önem taþýmaktadýr. Güvenlik kataloðu dosyalarýnýn (öznitelikler listelenmeden) bir Microsoft dijital imzasý vardýr.

Windows Server 2008 ve Windows Vista'nýn tüm desteklenen x86 tabanlý sürümleri

Windows Server 2008 ve Windows Vista'nýn tüm desteklenen x64 tabanlý sürümleri

Windows Server 2008'in tüm desteklenen IA-64 tabanlý sürümleri

Windows Server 2008 ve Windows Vista için ek dosya bilgileri

Windows Server 2008 ve Windows Vista'nýn tüm desteklenen x86 tabanlý sürümleri için ek dosyalar

Windows Server 2008 ve Windows Vista'nýn tüm desteklenen x64 tabanlý sürümleri için ek dosyalar

Windows Server 2008'in tüm desteklenen IA-64 tabanlý sürümleri için ek dosyalar