Artikel-ID: 960859 - Ge�ndert am: Montag, 17. August 2009 - Version: 1.2

MS09-042: Sicherheitsrisiko in Telnet kann Remotecodeausf�hrung erm�glichen

Produkte anzeigen, auf die sich dieser Artikel bezieht

SystemtippDieser Artikel bezieht sich auf ein anderes Betriebssystem als das von Ihnen verwendete. F�r Sie m�glicherweise nicht relevante Artikelinhalte wurden deaktiviert.

EINF�HRUNG

Microsoft hat das Sicherheitsbulletin MS09-042 ver�ffentlicht. Das vollst�ndige Sicherheitsbulletin finden Sie auf den folgenden Microsoft-Websites:

Privatbenutzer:
http://www.microsoft.com/germany/protect/computer/updates/bulletins/200908.mspx (http://www.microsoft.com/germany/protect/computer/updates/bulletins/200908.mspx)
Details �berspringen Laden Sie die Updates f�r Ihren Heimcomputer oder Laptop von der Microsoft Update-Website herunter:
http://update.microsoft.com/microsoftupdate (http://update.microsoft.com/microsoftupdate)
IT-Profis:
http://www.microsoft.com/germany/technet/sicherheit/bulletins/MS09-042.mspx (http://www.microsoft.com/germany/technet/sicherheit/bulletins/MS09-042.mspx)

Zum Anfang

Hilfe und Support zum Sicherheitsupdate

Privatbenutzer erhalten kostenlosen Support �ber die Hotline-Nummer 1-866-PCSAFETY (nur USA und Kanada) oder �ber die �rtliche Microsoft-Niederlassung. Weitere Informationen zur Kontaktaufnahme mit der zust�ndigen Microsoft-Niederlassung bei Problemen mit Sicherheitsupdates finden Sie auf der internationalen Supportwebsite von Microsoft:

http://support.microsoft.com/common/international.aspx?rdpath=4 (http://support.microsoft.com/common/international.aspx?rdpath=4)

Kunden in Nordamerika k�nnen �ber die folgende Website von Microsoft auch direkten Zugriff auf unbegrenzten kostenfreien E-Mail-Support oder unbegrenzten Einzelsupport per Chat erhalten:

http://support.microsoft.com/oas/default.aspx?&prid=7552 (http://support.microsoft.com/oas/default.aspx?&prid=7552)

Unternehmenskunden k�nnen bei Problemen mit Sicherheitsupdates ihre �blichen Supportkontakte nutzen.

Zum Anfang

Weitere Informationen

Zus�tzliche Informationen zum Sicherheitsupdate

Worum geht es in diesem Sicherheitsbulletin?
Das Sicherheitsupdate befasst sich mit Spiegelungsschutz im Telnet-Protokoll. Weitere Informationen zu Spiegelungsschutz finden Sie in folgendem Sicherheitsbulletin:
http://www.microsoft.com/germany/technet/sicherheit/bulletins/MS09-042.mspx (http://www.microsoft.com/germany/technet/sicherheit/bulletins/MS09-042.mspx)
Was ist erweiterter Schutz?
Dieses Sicherheitsupdate implementiert umfassende Schutzma�nahmen, die Telnet-Clients und -Servern erm�glichen, erweiterten Schutz zu abonnieren. Diese Funktion ist standardm��ig deaktiviert. Bitte lesen Sie dieses Sicherheitsupdate und die folgende Sicherheitsempfehlung, in der der erweiterte Schutz detailliert beschrieben wird, sorgf�ltig durch, um sicherzustellen, dass Sie die Auswirkungen dieser �nderungen genau verstehen:
973811� (http://support.microsoft.com/kb/973811/ ) Microsoft-Sicherheitsempfehlung: Erweiterter Schutz f�r die Authentifizierung
Wie aktiviere ich den erweiterten Schutz auf meinem Computer?
Bevor Sie den erweiterten Schutz aktivieren, stellen Sie sicher, dass das folgende Update sowohl auf den Client- als auch auf den Servercomputern installiert ist:
968389� (http://support.microsoft.com/kb/968389/ ) Erweiterter Schutz f�r die Authentifizierung
Zum Aktivieren des erweiterten Schutzes f�r Telnet stellen Sie sicher, dass die Updates aus der Sicherheitsempfehlung 968389 und aus diesem Artikel sowohl auf den Client- als auch auf den Servercomputern installiert sind.

Hinweis Die clientseitige Einstellung, mit der Sie den erweiterten Schutz aktivieren, gilt systemweit. Wird diese Einstellung aktiviert, ist der erweiterte Schutz f�r alle Komponenten auf dem Clientcomputer aktiviert.

Auf einem Server muss der erweiterte Schutz f�r jede Komponente einzeln aktiviert werden. Vergewissern Sie sich vor der Aktivierung des erweiterten Schutzes auf einem Server, dass alle Clientkomponenten f�r einen bestimmten Server f�r den erweiterten Schutz aktualisiert wurden, ansonsten k�nnen Authentifizierungsfehler auftreten. Nachdem beide Sicherheitsupdates installiert wurden, m�ssen Sie den erweiterten Schutz anschlie�end auf den Client- und Servercomputern aktivieren.

Zum Aktivieren des erweiterten Schutzes auf dem Computer sind die folgenden �nderungen erforderlich.

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enth�lt Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung k�nnen schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausf�hrung der folgenden Schritte sorgf�ltig vorzugehen. Als Schutzma�nahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gew�hrleistet, dass Sie die Registrierung wiederherstellen k�nnen, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756� (http://support.microsoft.com/kb/322756/ ) Unter Windows XP und Windows Server 2003 eine Sicherungskopie der Registrierung erstellen und die Registrierung bearbeiten und wiederherstellen
- Wenn ein Computer ein Telnet-Client ist:
  1. Vergewissern Sie sich, dass die Registrierungswerte SuppressExtendedProtection und LmCompatibilityLevel sich im folgenden Registrierungsunterschl�ssel befinden:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
  2. Sind die Registrierungswerte nicht vorhanden, starten Sie den Registrierungs-Editor, und f�hren Sie die folgenden Schritte aus:
    1. Klicken Sie auf den folgenden Registrierungsschl�ssel:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
    2. Zeigen Sie im Men� Bearbeiten auf Neu, und klicken Sie anschlie�end auf DWORD-Wert.
    3. Geben Sie SuppressExtendedProtection ein, und dr�cken Sie die EINGABETASTE.
    4. Klicken Sie im Men� Bearbeiten auf �ndern.
    5. Geben Sie 0 ein, und klicken Sie auf OK.
    6. Zeigen Sie im Men� Bearbeiten auf Neu, und klicken Sie anschlie�end auf DWORD-Wert.
    7. Geben Sie LmCompatibilityLevel ein, und dr�cken Sie die EINGABETASTE.
    8. Klicken Sie im Men� Bearbeiten auf �ndern.
      
      Hinweis Mit diesem Schritt werden die NTLM-Authentifizierungsanforderungen ge�ndert. Bitte lesen Sie den folgenden Artikel der Microsoft Knowledge Base, um sich mit diesem Verhalten vertraut zu machen.
      239869� (http://support.microsoft.com/kb/239869/ ) Aktivieren der NTLM 2-Authentifizierung f�r Windows 95/98/2000 und NT
    9. Geben Sie 3 ein, und klicken Sie auf OK.
    10. Beenden Sie den Registrierungs-Editor.
- Auf einem Telnet-Server:
  Bevor Sie die unten stehenden �nderungen vornehmen und einen Stabilisierungsmodus einstellen, lesen Sie den folgenden MSDN-Artikel:
  http://msdn.microsoft.com/de-de/library/dd767318.aspx (http://msdn.microsoft.com/de-de/library/dd767318.aspx)
  1. Vergewissern Sie sich, dass der Registrierungswert ExtendedProtection sich im folgenden Registrierungsunterschl�ssel befindet:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
  2. Ist der Registrierungswert nicht vorhanden, starten Sie den Registrierungs-Editor, und f�hren Sie die folgenden Schritte aus:
    1. Klicken Sie auf den folgenden Registrierungsschl�ssel:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
    2. Zeigen Sie im Men� Bearbeiten auf Neu, und klicken Sie anschlie�end auf DWORD-Wert.
    3. Geben Sie ExtendedProtection ein, und dr�cken Sie die EINGABETASTE.
    4. Klicken Sie im Men� Bearbeiten auf �ndern.
    5. Legen Sie den Registrierungswert, basierend auf Ihren Telnet-Anforderungen, auf einen der folgenden Wert fest, und klicken Sie dann auf OK:
      - Legacy: Alle Arten von Clients zulassen. Legen Sie ExtendedProtection auf 0 fest.
      - Partial: (Legacy + EP) Clients zulassen, die keinen Dienstprinzipalnamen (Service Principal Name, SPN) senden, oder Clients zulassen, die den richtigen SPN senden. Legen Sie ExtendedProtection auf 1 fest.
      - Fully Hardened: (Nur EP) Clients zulassen, die nur den richtigen SPN senden. Legen Sie ExtendedProtection auf 2 fest.
    6. Beenden Sie den Registrierungs-Editor.
Bei der Installation dieses Pakets
Der folgende Registrierungsschl�ssel mit dem folgenden Wert wird nur auf Computern mit Windows XP oder auf Servern mit Windows Server 2003 erstellt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection
Der Standardwert f�r ExtendedProtection wird auf 0 eingestellt. Unter Windows Vista m�ssen Sie manuell diesen Schl�ssel erstellen und den entsprechenden Wert f�r den ausgew�hlten Stabilisierungsmodus angeben. F�hren Sie die weiter oben in diesem Artikel unter "Wie aktiviere ich den erweiterten Schutz auf meinem Computer?" beschriebenen Schritte aus, um den Registrierungswert hinzuzuf�gen.
Standardm��ig zugelassene SPNs auf einem Telnet-Server:
- Standardm��ig l�sst der Telnet-Server die folgende Liste von Namen IPs zu:
  - "localhost" als Zeichenfolge in Englisch.
  - Alle Varianten von IPs (IPv4 & IPv6) Ihres eigenen Servers oder Computers.
  - 127.0.0.1 & ::1
  - Hostname im NetBIOS-Format
  - Hostname im FQDN-Format
- Wenn der Administrator andere SPNs zulassen m�chte, kann er wie folgt weitere Namen hinzuf�gen. Der Name wird nicht von NetBIOS in FQDN oder von FQDN in NetBIOS konvertiert:
  - Ist der Registrierungswert AllowedSPN nicht vorhanden, starten Sie den Registrierungs-Editor, und f�hren Sie die folgenden Schritte aus:
    1. Klicken Sie auf den folgenden Registrierungsschl�ssel:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
    2. Zeigen Sie im Men� Bearbeiten auf Neu, und klicken Sie auf Wert der mehrteiligen Zeichenfolge.
    3. Geben Sie AllowedSPN ein, und dr�cken Sie die EINGABETASTE.
    4. Klicken Sie im Men� Bearbeiten auf �ndern.
    5. F�gen Sie die Aliasnamen hinzu, die Sie als SPNs zulassen m�chten. Der folgende Eintrag ist ein g�ltiger SPN f�r Telnet:
      telnet/machineName
    6. Klicken Sie auf OK, und beenden Sie den Registrierungs-Editor.

Zum Anfang

Bekannte Probleme bei diesem Sicherheitsupdate

Auf Computern mit Windows XP oder auf Servern mit Windows Server 2003 kann der folgende localhost-Fehler bei IPv6-Adressen und Computeraliasnamen auftreten:

Microsoft Telnet-Clients stellen keine Verbindung zu lokalen IPv6-Adressen und allen localhost-Aliasnamen mit Ausnahme von "localhost" und "hostname" her.

F�hren Sie die entsprechenden Schritte durch, um dieses Problem zu beheben:
- F�hren Sie bei einem IPv6-Adressfehler die Schritte im Abschnitt "Bekannte Probleme bei diesem Sicherheitsupdate" des folgenden Knowledge Base-Artikels aus:
  960803� (http://support.microsoft.com/kb/960803/ ) MS09-013: Sicherheitsrisiken in Windows-HTTP-Diensten k�nnen Remotecodeausf�hrung erm�glichen.
- Verwenden Sie bei einem localhost-Aliasfehler die Methode 1 im Abschnitt "Problemumgehung" des folgenden Knowledge Base-Artikels:
  896861� (http://support.microsoft.com/kb/896861/ ) Fehler 401.1 beim Aufrufen einer Website, die integrierte Authentifizierung verwendet und mit IIS 5.1 oder IIS 6 gehostet wird
Wenn Sie versuchen, eine Telnet-Sitzung mit einer IP-Adresse im Adressbereich 127.*.*.* zu erstellen, schl�gt die Telnet-Sitzung bei allen IP-Adressen mit Ausnahme der IP-Adresse 127.0.0.1 fehl.

Dieses Problem tritt in Windows 2000, Windows XP und Windows Server 2003 auf.
Spiegelungsschutz ist in Windows 2000 standardm��ig nicht verf�gbar.
Relayschutz (erweiterter Schutz) ist nur unter den folgenden Betriebssystemen verf�gbar:
- Alle Versionen von Windows Vista
- Windows Server 2003 Service Pack 2 QFE und Windows Server 2003 Service Pack 2 GDR
- Windows XP Service Pack 2 QFE, Windows XP Service Pack 2 GDR, Windows XP Service Pack 3 QFE und Windows XP Service Pack 3 GDR
Telnet-Verbindung zu einem Clusternamen und FQDN nicht m�glich. Sie m�ssen den Clusternamen und FQDN zum Registrierungswert AllowedSPN hinzuf�gen. Informationen zur Vorgehensweise finden Sie im Abschnitt "Bei der Installation dieses Pakets".
Telnet-Verbindung zu einem Server �ber einen Aliasnamen nicht m�glich. Sie m�ssen den Aliasnamen zum Registrierungswert AllowedSPN hinzuf�gen. Informationen zur Vorgehensweise finden Sie im Abschnitt "Bei der Installation dieses Pakets".
Dieses Update wird Windows 2000-Kunden, die auf ihren Systemen Services for Unix installiert haben, nicht angeboten.

Zum Anfang

DATEIINFORMATIONEN

Die englische Version (USA) dieses Softwareupdates installiert Dateien mit den in der nachstehenden Tabelle aufgelisteten Attributen. Datums- und Uhrzeitangaben f�r diese Dateien sind in der "Universal Time Coordinated" (UTC) angegeben. Die Datums- und Uhrzeitangaben f�r diese Dateien werden auf Ihrem lokalen Computer in Ihrer Ortszeit und unter Ber�cksichtigung der Sommerzeit angegeben. Au�erdem k�nnen sich die Datums- und Uhrzeitangaben �ndern, wenn Sie bestimmte Operationen mit den Dateien ausf�hren.

Zum Anfang