MS09-042: A Telnet biztons�gi r�se t�volr�l v�grehajtott k�dfuttat�st tehet lehet�v�

Cikk azonos�t�ja: 960859 - A cikkben �rintett term�kek list�j�nak megtekint�se.

Az �sszes kibont�sa | Az �sszes �sszecsuk�sa

BEVEZET�S

A Microsoft k�zz�tette az MS09-042 jel� biztons�gi k�zlem�nyt. A biztons�gi k�zlem�ny teljes sz�vege a Microsoft al�bbi webhelyein tekinthet� meg:

Otthoni felhaszn�l�k sz�m�ra:
http://www.microsoft.com/hun/protect/computer/updates/bulletins/200908.mspx
(http://www.microsoft.com/hun/protect/computer/updates/bulletins/200908.mspx)
A r�szletek �tugr�sa: A friss�t�sek let�lt�se asztali vagy hordozhat� sz�m�t�g�pre a Microsoft Update webhelyr�l:
http://update.microsoft.com/microsoftupdate
(http://update.microsoft.com/microsoftupdate)
Informatikai szakemberek sz�m�ra:
http://www.microsoft.com/hun/technet/security/bulletin/MS09-042.mspx
(http://www.microsoft.com/hun/technet/security/bulletin/MS09-042.mspx)

T�mogat�s �s seg�ts�gny�jt�s a biztons�gi friss�t�shez

Az otthoni felhaszn�l�k az Amerikai Egyes�lt �llamokban, illetve Kanad�ban d�jmentes telefonos t�mogat�st kaphatnak az 1-866-PCSAFETY sz�mon, illetve m�s orsz�gokban a Microsoft helyi k�pviselet�t�l. A biztons�gi friss�t�sekhez t�mogat�st ny�jt� helyi Microsoft-k�pviseletek el�rhet�s�g�r�l a Microsoft al�bbi nemzetk�zi t�mogat�si webhely�n t�j�koz�dhat:

http://support.microsoft.com/common/international.aspx?rdpath=4

(http://support.microsoft.com/common/international.aspx?rdpath=4)

Az �szak-amerikai �gyfelek a Microsoft al�bbi webhely�n tov�bb� ingyenes e-mailes vagy korl�tlan egyedi, cseveg�programon kereszt�li t�mogat�st is kaphatnak:

http://support.microsoft.com/oas/default.aspx?&prid=7552

(http://support.microsoft.com/oas/default.aspx?&prid=7552)

A v�llalati �gyfelek a biztons�gi friss�t�sekhez saj�t tan�csad�ikt�l kaphatnak t�mogat�st.

A lap tetej�re | Visszajelz�s k�ld�se

Tov�bbi inform�ci�

A biztons�gi friss�t�ssel kapcsolatos tov�bbi inform�ci�k

Mir�l sz�l ez a biztons�gi k�zlem�ny?
A biztons�gi k�zlem�ny a Telnet protokollj�nak t�kr�z�sv�delm�r�l sz�l. A t�kr�z�sv�delemr�l b�vebb inform�ci� a k�vetkez� biztons�gi k�zlem�nyben tal�lhat�:
http://www.microsoft.com/hun/technet/security/bulletin/MS09-042.mspx
(http://www.microsoft.com/hun/technet/security/bulletin/MS09-042.mspx)
Mi az a kib�v�tett v�delem?
Ez a biztons�gi friss�t�s m�lyrehat� v�delmi jav�t�st tartalmaz, amely r�v�n a Telnet-kiszolg�l� �s -�gyf�l a kib�v�tett v�delmet alkalmazhatja. Alap�rtelmez�s szerint ez a funkci� le van tiltva. Annak �rdek�ben, hogy biztosan meg�rtse a m�dos�t�sok hat�s�t, tekintse �t a jelen biztons�gi friss�t�st, valamint a biztons�gi tan�csokat tartalmaz� al�bbi dokumentumot, mely b�vebben foglalkozik a kib�v�tett v�delemmel is:
973811
(http://support.microsoft.com/kb/973811/ )
Biztons�gi tan�csokat tartalmaz� dokumentum: Hiteles�t�skori kib�v�tett v�delem (El�fordulhat, hogy a hivatkoz�s r�szben vagy teljes eg�sz�ben angol nyelv� tartalomra mutat.)
Hogyan enged�lyezhet� a sz�m�t�g�pen a kib�v�tett v�delem?
A kib�v�tett v�delem enged�lyez�se el�tt felt�tlen�l telep�teni kell az �gyf�lsz�m�t�g�pekre �s a kiszolg�l�kra az al�bbi friss�t�st:
968389
(http://support.microsoft.com/kb/968389/ )
Hiteles�t�skori kib�v�tett v�delem
A kib�v�tett v�delm�nek enged�lyez�s�hez alapfelt�tel, hogy a 968389. sz�m� biztons�gi tan�csokat tartalmaz� dokumentumban �s a jelen cikkben ismertetett friss�t�sek telep�tve legyenek az �gyf�lsz�m�t�g�pekre �s a kiszolg�l�kra.

Megjegyz�s: A kib�v�tett v�delmet enged�lyez� �gyf�loldali be�ll�t�s az eg�sz rendszerre vonatkozik, �gy amikor enged�lyezett, a kib�v�tett v�delem az �gyf�lsz�m�t�g�p valamennyi �sszetev�je sz�m�ra enged�lyezett.

A kiszolg�l�kon viszont minden �sszetev� sz�m�ra k�l�n-k�l�n kell enged�lyezni a kib�v�tett v�delmet. Miel�tt a kiszolg�l�n enged�lyezi a kib�v�tett v�delmet, gondoskodjon r�la, hogy a kiszolg�l� valamennyi �gyfele megkapja a kib�v�tett v�delmet biztos�t� friss�t�st, k�l�nben hiteles�t�si probl�m�k l�phetnek fel. A k�t biztons�gi friss�t�s telep�t�se ut�n enged�lyezze a kib�v�tett v�delmet mind a kiszolg�l�kon, mind az �gyf�lsz�m�t�g�peken.

Ahhoz, hogy a sz�m�t�g�pen enged�lyezni lehessen a kib�v�tett v�delmet, az al�bbi m�dos�t�sokat kell elv�gezni.

Fontos: Az al�bbi bekezd�s, m�dszer, illetve feladat a be�ll�t�sjegyz�k (kor�bbi nev�n rendszerle�r� adatb�zis) m�dos�t�s�t is mag�ban foglal� l�p�seket tartalmaz. A be�ll�t�sjegyz�k helytelen m�dos�t�sa azonban komoly probl�m�kat okozhat, ez�rt �gyeljen az utas�t�sok pontos betart�s�ra. A be�ll�t�sjegyz�kr�l m�dos�t�sa el�tt k�sz�tsen biztons�gi m�solatot, hogy sz�ks�g eset�n vissza�ll�thassa azt. A be�ll�t�sjegyz�k biztons�gi ment�s�r�l �s vissza�ll�t�s�r�l a Microsoft Tud�sb�zis al�bbi cikk�ben t�j�koz�dhat:
322756
(http://support.microsoft.com/kb/322756/ )
�tmutat�: A rendszerle�r� adatb�zis biztons�gi ment�se, szerkeszt�se �s vissza�ll�t�sa Windows XP �s Windows Server 2003 rendszerben
- Ha a sz�m�t�g�p Telnet-�gyf�l:
  1. Ellen�rizze, hogy tartalmazza-e a SuppressExtendedProtection �s az LmCompatibilityLevel be�ll�t�s�rt�keket a be�ll�t�sjegyz�k al�bbi kulcsa:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
  2. Ha nem tartalmazza, akkor ind�tsa el a be�ll�t�sszerkeszt�t, majd k�vesse az al�bbi l�p�seket:
    1. Keresse meg �s jel�lje ki az al�bbi be�ll�t�skulcsot:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
    2. Mutasson a Szerkeszt�s men� �j pontj�ra, majd kattintson a Duplasz� parancsra.
    3. �rja be a SuppressExtendedProtection kifejez�st, majd nyomja le az ENTER billenty�t.
    4. Kattintson a Szerkeszt�s men� M�dos�t�s parancs�ra.
    5. �rja be a 0 �rt�ket, �s kattintson az OK gombra.
    6. Mutasson a Szerkeszt�s men� �j pontj�ra, majd kattintson a Duplasz� parancsra.
    7. �rja be az LmCompatibilityLevel kifejez�st, majd nyomja le az ENTER billenty�t.
    8. Kattintson a Szerkeszt�s men� M�dos�t�s parancs�ra.
      
      Megjegyz�s: Ez a l�p�s megv�ltoztatja az NTLM-hiteles�t�s k�vetelm�nyeit. Ennek megismer�s�hez olvassa el a Microsoft Tud�sb�zis al�bbi cikk�t:
      239869
      (http://support.microsoft.com/kb/239869/ )
      Az NTLM 2 hiteles�t�s enged�lyez�se
    9. �rja be a 3 �rt�ket, �s kattintson az OK gombra.
    10. Z�rja be a be�ll�t�sszerkeszt�t.
- Telnet-kiszolg�l�kon:
  Miel�tt az al�bbi m�dos�t�sokat elv�gzi �s er�sebb �zemm�dot �ll�t be, tanulm�nyozza a k�vetkez� MSDN-cikket:
  http://msdn.microsoft.com/hu-hu/library/dd767318.aspx
  (http://msdn.microsoft.com/hu-hu/library/dd767318.aspx)
  1. Ellen�rizze, hogy tartalmazza-e az ExtendedProtection be�ll�t�s�rt�ket a be�ll�t�sjegyz�k al�bbi kulcsa:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
  2. Ha nem tartalmazza, akkor ind�tsa el a be�ll�t�sszerkeszt�t, majd k�vesse az al�bbi l�p�seket:
    1. Keresse meg �s jel�lje ki az al�bbi be�ll�t�skulcsot:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
    2. Mutasson a Szerkeszt�s men� �j pontj�ra, majd kattintson a Duplasz� parancsra.
    3. �rja be az ExtendedProtection kifejez�st, majd nyomja le az ENTER billenty�t.
    4. Kattintson a Szerkeszt�s men� M�dos�t�s parancs�ra.
    5. A Telnet k�vetelm�nyeit�l f�gg�en be�ll�t�sazonos�t�nak adja meg az al�bbiak egyik�t, majd kattintson az OK gombra:
      - R�gebbi rendszerek: Minden t�pus� �gyf�l enged�lyez�se. �ll�tsa 0-ra az ExtendedProtection be�ll�t�s�rt�ket.
      - R�szleges v�delem: (R�gebbi rendszerek �s kib�v�tett v�delem) Az egyszer� szolg�ltat�snevet (SPN) nem k�ld� �gyfelek, valamint a helyes SPN-t k�ld� �gyfelek enged�lyez�se. �ll�tsa 1-re az ExtendedProtection be�ll�t�s�rt�ket.
      - Nagyon er�s: (Csak kib�v�tett v�delem) Kiz�r�lag a helyes SPN-t k�ld� �gyfelek enged�lyez�se. �ll�tsa 2-re az ExtendedProtection be�ll�t�s�rt�ket.
    6. Z�rja be a be�ll�t�sszerkeszt�t.
A csomag telep�t�se
Windows XP-rendszer� sz�m�t�g�peken �s Windows Server 2003-rendszer� kiszolg�l�kon az al�bbi be�ll�t�skulcs �s -azonos�t� ker�l a be�ll�t�sjegyz�kbe:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection
Az ExtendedProtection alap�rtelmezett �rt�ke 0. Windows Vista rendszerben manu�lisan kell l�trehozni ezt a kulcsot, �s a k�v�nt �zemm�dnak megfelel� �rt�k�t be�ll�tani. A be�ll�t�sazonos�t� felv�tel�hez hajtsa v�gre jelen cikk �Hogyan enged�lyezhet� a sz�m�t�g�pen a kib�v�tett v�delem?� szakasz�ban ismertetett l�p�seket.
A Telnet-kiszolg�l�kon enged�lyezett alap�rtelmezett SPN-ek:
- Alap�rtelmez�s szerint a Telnet-kiszolg�l�k az al�bbi neveket �s IP-c�meket enged�lyezik:
  - �localhost� (ebben a form�ban, angolul);
  - a saj�t sz�m�t�g�p vagy kiszolg�l� IP-c�meinek minden (IPv4 & IPv6) vari�ci�ja;
  - 127.0.0.1 & ::1
  - �llom�sn�v NetBIOS-form�tumban;
  - �llom�sn�v FQDN-form�tumban.
- Ha a rendszergazda m�s SPN-eket is enged�lyezni szeretne, a tov�bbi neveket az al�bbiak szerint veheti fel. A nevek nem konvert�l�dnak NetBIOS-form�tumr�l FQDN-form�tumra, illetve FQDN-form�tumr�l NetBIOS-form�tumra.
  - Ha az AllowedSPN be�ll�t�sazonos�t� nem l�tezik, ind�tsa el a be�ll�t�sszerkeszt�t, majd k�vesse az al�bbi l�p�seket:
    1. Keresse meg �s jel�lje ki az al�bbi be�ll�t�skulcsot:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
    2. Mutasson a Szerkeszt�s men� �j pontj�ra, majd v�lassza a Karakterl�ncsoros �rt�k parancsot
    3. �rja be az AllowedSPN kifejez�st, majd nyomja le az ENTER billenty�t.
    4. Kattintson a Szerkeszt�s men� M�dos�t�s parancs�ra.
    5. Adja meg az SPN-k�nt enged�lyezni k�v�nt aliasokat. Egy �rv�nyes SPN a Telnet sz�m�ra:
      telnet/sz�m�t�g�pNeve
    6. Kattintson az OK gombra, �s z�rja be a be�ll�t�sszerkeszt�t.

A biztons�gi friss�t�ssel kapcsolatos ismert probl�m�k

Windows XP-rendszer� sz�m�t�g�peken �s Windows Server 2003-rendszer� kiszolg�l�kon az al�bbi localhost-hiba l�phet fel IPv6-c�mekkel �s sz�m�t�g�p-aliasokkal kapcsolatban:

A Microsoft Telnet �gyfelei nem kapcsol�dnak a helyi IPv6-c�mekhez �s a localhost-aliasokhoz, kiv�ve a �localhost� �s a �hostname� aliasokat.

A hiba megsz�ntet�s�hez v�gezze el a megfelel� l�p�seket:
- IPv6-c�mekkel kapcsolatos hiba eset�n hajtsa v�gre az al�bbi Tud�sb�zis-cikk �A biztons�gi friss�t�ssel kapcsolatos ismert probl�m�k� szakasz�nak l�p�seit:
  960803
  (http://support.microsoft.com/kb/960803/ )
  MS09-013: A Windows HTTP-szolg�ltat�sainak biztons�gi r�se t�volr�l v�grehajtott k�dfuttat�st tehet lehet�v�
- A localhost-alias hib�ja eset�n hajtsa v�gre az al�bbi Tud�sb�zis-cikk �Ker�l� megold�s� szakasz�ban tal�lhat� �1. m�dszer� l�p�seit:
  896861
  (http://support.microsoft.com/kb/896861/ )
  IIS 5.1 vagy IIS 6 alap� webkiszolg�l�n �zemel�, integr�lt hiteles�t�st alkalmaz� webhely b�ng�sz�sekor 401.1 hiba�zenet jelenik meg
Ha Telnet-munkamenetet pr�b�l l�trehozni a 127.*.*.* tartom�ny b�rmely IP-c�m�vel, az sikertelen lesz, kiv�ve a 127.0.0.1-es c�met.

Ez a probl�ma Windows 2000, Windows XP �s Windows Server 2003 rendszerekben jelentkezik.
Alap�rtelmez�s szerint a t�kr�z�sv�delem nem �rhet� el a Windows 2000 rendszerben.
A (kib�v�tett) tov�bb�t�sv�delem csak az al�bbi oper�ci�s rendszerekben tal�lhat� meg:
- a Windows Vista �sszes verzi�ja;
- Windows Server 2003 Service Pack 2 QFE �s Windows Server 2003 Service Pack 2 GDR;
- Windows XP Service Pack 2 QFE, Windows XP Service Pack 2 GDR, Windows XP Service Pack 3 QFE �s Windows XP Service Pack 3 GDR.
F�rtn�vvel �s teljesen min�s�tett tartom�nyn�vvel (FQDN) nem hozhat� l�tre Telnet-kapcsolat. A f�rtnevet �s a teljesen min�s�tett tartom�nynevet fel kell venni az AllowedSPN be�ll�t�sazonos�t�ba. Ennek m�dj�r�l �A csomag telep�t�se� c�m� szakaszban olvashat.
Kiszolg�l�kkal nem hozhat� l�tre Telnet-kapcsolat alias n�v haszn�lat�val. Az alias nevet fel kell venni az AllowedSPN be�ll�t�sazonos�t�ba. Ennek m�dj�r�l �A csomag telep�t�se� c�m� szakaszban olvashat.
A rendszer nem aj�nlja fel ezt a friss�t�st a Windows 2000 azon felhaszn�l�inak, akik sz�m�t�g�p�n a Services for Unix telep�tve van.

A lap tetej�re | Visszajelz�s k�ld�se

F�JLINFORM�CI�K

A biztons�gi friss�t�s angol nyelv� (egyes�lt �llamokbeli) v�ltozata a k�vetkez� t�bl�zatokban tal�lhat� f�jlattrib�tumokkal rendelkez� f�jlokat telep�ti. A f�jlok d�tuma �s id�pontja egyezm�nyes vil�gid� (UTC) szerint van megadva. A f�jlok d�tuma �s id�pontja a helyi sz�m�t�g�pen a helyi id� szerint �s a t�li-ny�ri id�sz�m�t�s aktu�lis be�ll�t�s�nak megfelel�en jelenik meg. A d�tumok �s id�pontok ezenk�v�l a f�jlokon v�grehajtott bizonyos m�veletek eset�n is m�dosulhatnak.