MS09-042: Chyba zabezpe�en� protokolu Telnet by mohla umo�nit vzd�len� spu�t�n� k�du

ID �l�nku: 960859 - Produkty, kter� se vztahuj� k tomuto �l�nku.

Rozbalit v�echny z�lo�ky | Minimalizovat v�echny z�lo�ky

�VOD

Spole�nost Microsoft vydala bulletin zabezpe�en� MS09-042. Chcete-li zobrazit cel� bulletin zabezpe�en�, nav�tivte jeden z n�sleduj�c�ch web� spole�nosti Microsoft:

Dom�c� u�ivatel�:
http://www.microsoft.com/cze/athome/security/update/bulletins/200908.mspx
(http://www.microsoft.com/cze/athome/security/update/bulletins/200908.mspx)
P�esko�it podrobnosti: Sta�en� aktualizac� pro dom�c� po��ta� nebo p�enosn� po��ta� z webu Microsoft Update:
http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=cs
(http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=cs-cz)
Odborn�ci v oblasti IT:
http://www.microsoft.com/cze/technet/security/bulletin/MS09-042.mspx
(http://www.microsoft.com/technet/security/bulletin/MS09-042.mspx)

Pomoc a podpora pro tuto aktualizaci zabezpe�en�

Pro dom�c� u�ivatele je k dispozici bezplatn� podpora na ��sle 1-866-PCSAFETY ve Spojen�ch st�tech a v Kanad�, nebo se mohou obr�tit na m�stn� pobo�ku spole�nosti Microsoft. Informace o tom, jak kontaktovat m�stn� pobo�ku spole�nosti Microsoft ohledn� podpory aktualizace zabezpe�en�, naleznete na n�sleduj�c�m webu mezin�rodn� podpory:

http://support.microsoft.com/common/international.aspx?rdpath=4

(http://support.microsoft.com/common/international.aspx?rdpath=4)

Z�kazn�ci v Severn� Americe mohou tak� na n�sleduj�c�m webu spole�nosti Microsoft z�skat neomezenou bezplatnou podporu e-mailem nebo neomezenou individu�ln� podporu formou chatu:

http://support.microsoft.com/oas/default.aspx?&prid=7552

(http://support.microsoft.com/oas/default.aspx?&prid=7552)

Pro podnikov� z�kazn�ky je podpora pro aktualizace zabezpe�en� k dispozici prost�ednictv�m standardn�ch kontakt� podpory.

Zp�t nahoru | Dejte n�m zp�tnou vazbu

Dal�� informace

Dal�� informace o t�to aktualizaci zabezpe�en�

��m se zab�v� tento bulletin zabezpe�en�?
Tato aktualizace zabezpe�en� �e�� ochranu proti reflexi protokolu Telnet. Dal�� informace o ochran� proti reflexi najdete v n�sleduj�c�m bulletinu zabezpe�en�:
http://www.microsoft.com/cze/technet/security/bulletin/MS09-042.mspx
(http://www.microsoft.com/technet/security/bulletin/MS09-042.mspx)
Co je roz��en� ochrana?
Tato aktualizace zabezpe�en� obsahuje hloubkovou obrannou opravu, kter� umo��uje klientovi a serveru Telnet pou�it� roz��en� ochrany. Ve v�choz�m nastaven� je tato funkce zak�z�na. Pozorn� si p�e�t�te informace o t�to aktualizaci zabezpe�en� a n�sleduj�c� informa�n� zpravodaj zabezpe�en� s podrobn�m popisem roz��en� ochrany, abyste si byli pln� v�domi ��inku t�chto zm�n:
973811
(http://support.microsoft.com/kb/973811/ )
Informa�n� zpravodaj zabezpe�en� spole�nosti Microsoft: Roz��en� ochrana pro ov��ov�n� (Tento �l�nek m��e obsahovat odkazy na anglick� obsah (dosud nep�elo�en�).)
Jak v po��ta�i povolit roz��enou ochranu?
Ne� povol�te roz��enou ochranu, ov��te, zda je v po��ta��ch v roli klienta i serveru nainstalov�na n�sleduj�c� aktualizace:
968389
(http://support.microsoft.com/kb/968389/ )
Roz��en� ochrana pro ov��ov�n�
Chcete-li povolit roz��enou ochranu pro protokol Telnet, ujist�te se, zda jsou v po��ta��ch v roli klienta i serveru nainstalov�ny aktualizace uveden� v informa�n�m zpravodaji zabezpe�en� 968389 a v tomto �l�nku.

Pozn�mka: Nastaven� na stran� klienta, kter� umo��uje roz��enou ochranu, je nastaven�m cel�ho syst�mu. Pokud je toto nastaven� povoleno, je roz��en� ochrana povolena pro v�echny komponenty v klientsk�m po��ta�i.

Na serveru je t�eba roz��enou ochranu povolit pro ka�dou komponentu samostatn�. Ujist�te se, zda jsou v�echny klientsk� komponenty ur�it�ho serveru aktualizov�ny pro roz��enou ochranu, ne� tuto funkci na serveru povol�te. V opa�n�m p��pad� m��e doj�t k selh�n� ov��ov�n�. Po instalaci obou aktualizac� zabezpe�en� bude t�eba povolit roz��enou ochranu na po��ta��ch v roli klienta i serveru.

Chcete-li v po��ta�i povolit roz��enou ochranu, je t�eba prov�st n�sleduj�c� zm�ny.

D�le�it�: Tato ��st, metoda nebo �kol obsahuje kroky, kter� popisuj� �pravu registru. V p��pad� �pravy registru nespr�vn�m zp�sobem v�ak mohou nastat z�va�n� probl�my. Proto v�dy pe�liv� kontrolujte, zda postupujete p�esn� podle t�chto krok�. Jako dodate�nou ochranu registr p�ed �pravami z�lohujte. Potom m��ete v p��pad� probl�mu registr obnovit. Dal�� informace o z�lohov�n� a obnoven� registru naleznete v n�sleduj�c�m �l�nku znalostn� b�ze Microsoft Knowledge Base:
322756
(http://support.microsoft.com/kb/322756/ )
Z�lohov�n�, �pravy a obnoven� registru v syst�mech Windows XP a Windows Server 2003
- Je-li po��ta� klientem slu�by Telnet:
  1. Ov��te, zda jsou hodnoty registru SuppressExtendedProtection a LmCompatibilityLevel um�st�ny v n�sleduj�c�m podkl��i registru:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
  2. Pokud hodnoty registru chyb�, spus�te program Editor registru a d�le postupujte takto:
    1. Vyhledejte n�sleduj�c� kl�� registru a klikn�te na n�j:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
    2. V nab�dce �pravy p�ejd�te na p��kaz Nov� a potom klikn�te na p��kaz Hodnota DWORD.
    3. Zadejte �et�zec SuppressExtendedProtection a stiskn�te kl�vesu ENTER.
    4. V nab�dce �pravy klikn�te na p��kaz Zm�nit.
    5. Zadejte hodnotu 0 a klikn�te na tla��tko OK.
    6. V nab�dce �pravy p�ejd�te na p��kaz Nov� a potom klikn�te na p��kaz Hodnota DWORD.
    7. Zadejte �et�zec LmCompatibilityLevel a stiskn�te kl�vesu ENTER.
    8. V nab�dce �pravy klikn�te na p��kaz Zm�nit.
      
      Pozn�mka: Tento krok zm�n� po�adavky na ov��ov�n� protokolu NTLM. Podrobn� informace o tomto chov�n� si p�e�t�te v n�sleduj�c�m �l�nku znalostn� b�ze Microsoft Knowledge Base.
      239869
      (http://support.microsoft.com/kb/239869/ )
      Povolen� ov��ov�n� protokolem NTLM 2
    9. Zadejte hodnotu 3 a klikn�te na tla��tko OK.
    10. Ukon�ete program Editor registru.
- Na serveru Telnet:
  P�ed proveden�m n�sleduj�c�ch zm�n a nastaven�m jak�chkoli re�im� pos�len� zabezpe�en� si p�e�t�te n�sleduj�c� �l�nek z webu MSDN:
  http://msdn.microsoft.com/cs-cz/library/dd767318.aspx
  (http://msdn.microsoft.com/cs-cz/library/dd767318.aspx)
  1. Ov��te, zda je hodnota registru ExtendedProtection um�st�na v n�sleduj�c�m podkl��i registru:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
  2. Pokud hodnota registru chyb�, spus�te program Editor registru a d�le postupujte takto:
    1. Vyhledejte n�sleduj�c� kl�� registru a klikn�te na n�j:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
    2. V nab�dce �pravy p�ejd�te na p��kaz Nov� a potom klikn�te na p��kaz Hodnota DWORD.
    3. Zadejte �et�zec ExtendedProtection a stiskn�te kl�vesu ENTER.
    4. V nab�dce �pravy klikn�te na p��kaz Zm�nit.
    5. Nastavte hodnotu registru na jednu z n�sleduj�c�ch hodnot podle po�adavk� protokolu Telnet a klikn�te na tla��tko OK:
      - Star�� verze: Umo��uje v�echny typy klient�. Nastavte polo�ku ExtendedProtection na hodnotu 0.
      - ��ste�n�: (star�� verze + roz��en� ochrana) Podporuje klienty, kte�� neodes�laj� hlavn� n�zev slu�by (SPN), nebo klienty, kte�� ode�lou spr�vn� hlavn� n�zev slu�by. Nastavte polo�ku ExtendedProtection na hodnotu 1.
      - Pln� pos�len� zabezpe�en�: (pouze roz��en� ochrana) Podporuje klienty, kte�� odes�laj� pouze spr�vn� hlavn� n�zev slu�by. Nastavte polo�ku ExtendedProtection na hodnotu 2.
    6. Ukon�ete program Editor registru.
Po instalaci tohoto bal��ku
N�sleduj�c� kl�� a hodnota registru jsou vytvo�eny pouze v po��ta��ch se syst�mem Windows XP nebo na serverech se syst�mem Windows Server 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection
V�choz� hodnotou polo�ky ExtendedProtection je 0. V syst�mu Windows Vista je tento kl�� t�eba vytvo�it ru�n� a poskytnout p��slu�nou hodnotu pro vybran� re�im pos�len� zabezpe�en�. Chcete-li p�idat hodnotu registru, vyu�ijte postup popsan� v��e v tomto �l�nku v ��sti Jak v po��ta�i povolit roz��enou ochranu.
V�choz� povolen� hlavn� n�zvy slu�by na serveru Telnet:
- Ve v�choz�m nastaven� bude server Telnet povolovat n�sleduj�c� seznam n�zv� a IP adres:
  - localhost jako �et�zec v angli�tin�
  - V�echny varianty protokolu IP (IPv4 & IPv6) va�eho serveru nebo po��ta�e
  - 127.0.0.1 & ::1
  - N�zev hostitele ve form�tu NetBIOS
  - N�zev hostitele ve form�tu FQDN
- Pokud se spr�vce rozhodne povolit dal�� hlavn� n�zvy slu�by, bude mo�n� p�idat v�ce n�zv� n�sleduj�c�m zp�sobem. N�zvy nebudou p�ev�d�ny z form�tu NetBIOS do form�tu FQDN nebo z form�tu FQDN do form�tu NetBIOS:
  - Pokud chyb� hodnota registru AllowedSPN, spus�te program Editor registru a d�le postupujte takto:
    1. Vyhledejte n�sleduj�c� kl�� registru a klikn�te na n�j:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
    2. V nab�dce �pravy p�ejd�te na p��kaz Nov� a pak klikn�te na mo�nost V�ce�et�zcov� hodnota.
    3. Zadejte �et�zec AllowedSPN a stiskn�te kl�vesu ENTER.
    4. V nab�dce �pravy klikn�te na p��kaz Zm�nit.
    5. P�idejte aliasy, kter� chcete povolit jako hlavn� n�zvy slu�by. N�sleduj�c� polo�ka je platn�m hlavn�m n�zvem slu�by pro protokol Telnet:
      telnet/machineName
    6. Klikn�te na tla��tko OK a pot� ukon�ete program Editor registru.

Zn�m� probl�my s touto aktualizac� zabezpe�en�

V po��ta��ch se syst�mem Windows XP nebo na serverech se syst�mem Windows Server 2003 m��e doj�t k n�sleduj�c�mu selh�n� m�stn�ho hostitele souvisej�c�mu s IPv6 adresami a aliasy po��ta�e:

Klienti slu�by Microsoft Telnet se nep�ipoj� k lok�ln�m IPv6 adres�m a ve�ker�m alias�m m�stn�ho hostitele krom� �localhost� a �hostname�.

P�i �e�en� probl�mu postupujte takto:
- V p��pad� selh�n� IPv6 adresy pou�ijte postup v ��sti Zn�m� probl�my s touto aktualizac� zabezpe�en� v n�sleduj�c�m �l�nku znalostn� b�ze Knowledge Base:
  960803
  (http://support.microsoft.com/kb/960803/ )
  MS09-013: Chyby zabezpe�en� ve slu�b� Windows HTTP Services by mohly umo�nit vzd�len� spu�t�n� k�du
- V p��pad� selh�n� alias� m�stn�ho hostitele pou�ijte metodu 1 uvedenou v ��sti �e�en� v n�sleduj�c�m �l�nku znalostn� b�ze Knowledge Base:
  896861
  (http://support.microsoft.com/kb/896861/ )
  P�i proch�zen� webu, kter� pou��v� integrovan� ov��ov�n� a jeho� hostitelem je slu�ba IIS 5.1 nebo IIS 6, se zobraz� chyba 401.1 (Tento �l�nek m��e obsahovat odkazy na anglick� obsah (dosud nep�elo�en�).)
Kdy� se pokus�te vytvo�it relaci protokolu Telnet s jakoukoli IP adresou v rozsahu adres 127.*.*.*, dojde k selh�n� relace Telnet, s v�jimkou IP adresy 127.0.0.1.

K tomuto probl�mu doch�z� v syst�mech Windows 2000, Windows XP a Windows Server 2003.
Ve v�choz�m nastaven� nen� v syst�mu Windows 2000 k dispozici ochrana proti reflexi.
Ochrana p�enosu (roz��en�) je k dispozici pouze v n�sleduj�c�ch opera�n�ch syst�mech:
- V�echny verze syst�mu Windows Vista
- Windows Server 2003 Service Pack 2 QFE a Windows Server 2003 Service Pack 2 GDR
- Windows XP Service Pack 2 QFE, Windows XP Service Pack 2 GDR, Windows XP Service Pack 3 QFE a Windows XP Service Pack 3 GDR
Nelze vytvo�it relaci Telnet pro n�zev clusteru a �pln� n�zev dom�ny (FQDN). Je t�eba p�idat n�zev clusteru a �pln� n�zev dom�ny do hodnoty registru AllowedSPN. P��slu�n� postup najdete v ��sti Po instalaci tohoto bal��ku.
Nelze vytvo�it relaci Telnet pro server pomoc� n�zvu alias. Je t�eba p�idat n�zev alias do hodnoty registru AllowedSPN. P��slu�n� postup najdete v ��sti Po instalaci tohoto bal��ku.
Tato aktualizace nebude nab�zena z�kazn�k�m pou��vaj�c� syst�m Windows 2000, kte�� maj� v syst�mu nainstalov�ny Slu�by pro syst�m Unix.

Zp�t nahoru | Dejte n�m zp�tnou vazbu

INFORMACE O SOUBORECH

Anglick� verze (Spojen� st�ty) t�to aktualizace softwaru instaluje soubory, kter� maj� atributy uveden� v n�sleduj�c�ch tabulk�ch. Data a �asy jednotliv�ch soubor� jsou uvedeny ve form�tu UTC (Coordinated Universal Time). Data a �asy t�chto soubor� se zobrazuj� v m�stn�m po��ta�i podle m�stn�ho �asu a podle aktu�ln�ho nastaven� letn�ho �asu. Data a �asy se mohou zm�nit, provedete-li se soubory ur�it� operace.