MS10-029: En sikkerhedsrisiko i Windows ISATAP-komponenten kan forårsage spoofing

Microsoft har udgivet sikkerhedsbulletin MS10-029. Du kan finde sikkerhedsbulletinen i sin fulde længde på følgende Microsoft-websteder:

• Private brugere:
  http://www.microsoft.com/danmark/protect/computer/updates/bulletins/201004.mspx

  (http://www.microsoft.com/danmark/protect/computer/updates/bulletins/201004.mspx)
  Spring detaljerne over: Hent straks opdateringerne til din hjemmecomputer eller bærbare computer fra webstedet Microsoft Update:
  http://update.microsoft.com/microsoftupdate

  (http://update.microsoft.com/microsoftupdate)
• It-teknikere:
  http://www.microsoft.com/technet/security/bulletin/MS10-029.mspx

  (http://www.microsoft.com/technet/security/bulletin/MS10-029.mspx)

Sådan får du hjælp og support til denne sikkerhedsopdatering

Som privat bruger kan du få gratis support ved at kontakte din lokale Microsoft-afdeling. Du finder flere oplysninger om, hvordan du kontakter din lokale Microsoft-afdeling angående support til problemer med sikkerhedsopdateringer, ved at besøge webstedet Microsoft International Support: Kunder i Nordamerika kan også få adgang til ubegrænset, gratis support via e-mail eller til ubegrænset individuel support via chat ved at besøge følgende Microsoft-websted: Som virksomhedskunde kan du få support til sikkerhedsopdateringer gennem dine sædvanlige kontaktpersoner i supportsager.

Beskrivelsen af funktionerne er ændret i denne sikkerhedsbulletin

Denne sikkerhedsopdatering implementerer to funktioner i ISATAP (IPv6 Intra-Site Automatic Tunnel Addressing Protocol):

• PRL (Potential Router List): PRL gør det muligt for ISATAP-klienter at udføre kontrol af kildeadresser ved indgående ISATAP-pakker. PRL er dokumenteret i internetstandard RFC 5214. Når du har installeret denne sikkerhedsopdatering, yderligere håndhævelse sker på basis af oplysningerne i PRL. Det hjælper med at beskytte kunderne mod den sikkerhedsrisiko, der er beskrevet i sikkerhedsbulletin MS10-029.
• NUD (Neighbor Unreachability Detection): NUD bruges af ISATAP-routere til at kontrollere, om en nabo er tilgængelig eller ej. NUD er dokumenteret i internetstandard RFC 4861. På grund af høje krav til kompatibilitet, slås NUD som standard fra, når du har installeret denne sikkerhedsopdatering. Derfor kræver NUD manuel konfiguration.

Hvordan fungerer PRL?

PRL er en funktion, der vedligeholder en liste på hver enkelt ISATAP-klient over de tilhørende ISATAP-routere. Disse adresser hentes i DNS-oversættelsen på ISATAP-routeren. Når du har installeret denne opdatering, udfører Windows yderligere validering ved hjælp af oplysningerne i PRL.

Når en pakke modtages, behandles den kun, hvis en af følgende to betingelser er opfyldt:

• IPv4-kildeadressen svarer til de sidste 32 bit af IPv6-kildeadressen.
• IPv4-kildeadressen svarer til en adresse i PRL. Det angiver, at pakken blev overført via en tunnel af klientens ISATAP-router.

Overvej f.eks. følgende scenarie: I dette scenarie sender vært A en ISATAP-pakke via en tunnel til vært B med IPv4-kildeadressen 1.1.1.1. Der findes en efterlignet (spoofed) IPv6-kildeadresse i den tunneloverførte pakke, f.eks. 2ffe::5efe:3.3.3.3. Uden PRL ville vært B sende sit svar til 3.3.3.3 i stedet for 1.1.1.1.

Når PRL bruges, registreres efterligningsforsøget (spoofing) af PRL, og pakken behandles ikke.

Hvordan fungerer NUD?

NUD er en ny funktion, der installeres på ISATAP-routere sammen med denne opdatering. NUD validerer, om en nabo er tilgængelig eller ej, før pakker videresendes. Det er med til at sikre korrekt netværksfunktion og forhindre bestemte typer routingløkker.

Når denne funktion er aktiveret, sender routeren en naboinvitation (Neighbor Solicitation ? NS) til ISATAP-destinationsnoden, før en pakke videresendes. ISATAP-noden modtager invitationen, og hvis den ikke har den pågældende IPv6-adresse, sender den ikke et svar til NS, men kasserer pakken. Hvis adressen er tildelt til ISATAP-modtagernoden, svarer ISATAP-noden med en naboannoncering (Neighbor Advertisement ? NA). Den oprindelige node videresender pakken efter modtagelsen af denne NA.

Hvordan skal jeg installere NUD i mit netværk?

Kunderne skal være forsigtige, når de installerer NUD. Hvis ikke alle ISATAP-noder i netværket understøtter NUD, kan aktivering af NUD resultere i forbindelsesproblemer. En ISATAP-router, der sender en NS til en enhed, der ikke understøtter NUD, modtager intet svar. Derfor konkluderer ISATAP-routeren, at ruten ikke er tilgængelig.

NUD understøttes i Windows 7- og Windows Server 2008 R2-baserede systemer. Funktionen skal imidlertid aktiveres manuelt.

I Windows XP-, Windows Server 2003-, Windows Vista- og Windows Server 2008-baserede systemer skal du installere sikkerhedsopdatering 978338 og derefter manuelt aktivere NUD.

Det anbefales, at du spørger eventuelle tredjepartsleverandører af ISATAP-routere, om deres enhed implementerer NUD og understøtter behandling af NS- og NA-pakker.

Hvordan aktiverer jeg NUD?

Aktivér NUD i Windows Vista-, Windows Server 2008-, Windows 7- og Windows Server 2008 R2-baserede systemer

Du aktiverer NUD ved at benytte følgende fremgangsmåde:

1. Skriv følgende kommando ud for kommandoprompten, og tryk på Enter:
   netsh int ipv6 set interface navn på ISATAP-grænseflade nud=enabled
2. Genstart computeren.

Du deaktiverer NUD ved at benytte følgende fremgangsmåde:

1. Skriv følgende kommando ud for kommandoprompten, og tryk på Enter:
   netsh int ipv6 set interface navn på ISATAP-grænseflade nud=di store=persistent
2. Genstart computeren.

Aktivér NUD i Windows XP- og Windows Server 2003-baserede systemer

Vigtigt! I det følgende finder du en fremgangsmåde til redigering af registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Du skal derfor være meget omhyggelig med at følge den angivne fremgangsmåde. Som en ekstra sikkerhed bør du oprette en sikkerhedskopi af registreringsdatabasen, før du redigerer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Du kan finde flere oplysninger om, hvordan du sikkerhedskopierer og gendanner registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base: Opdater NUD ved at føje DWORD-værdien NUDEnabledOnISATAP, som har værdien 1, til følgende undernøgle i registreringsdatabasen: Deaktiver programrettelsen ved at ændre værdien for DWORD-posten NUDEnabledOnISATAP til 0 (nul).

Føj disse værdier til registreringsdatabasen ved at benytte følgende fremgangsmåde:

1. Klik på Start, klik på Kør, skriv regedit i feltet Åbn, og klik derefter på OK.
2. Find og klik på følgende undernøgle i registreringsdatabasen:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
3. Peg på Ny i menuen Rediger, og klik derefter på Nøgle.
4. Skriv GlobalParams for at angive navnet på nøglen, og tryk derefter på Enter.
5. Dobbeltklik på nøglen GlobalParams for at åbne den.
6. Peg på Ny i menuen Rediger, og klik derefter på DWORD-værdi.
7. Skriv NUDEnabledOnISATAP for at angive DWORD-navnet, og tryk derefter på Enter.
8. Højreklik på NUDEnabledOnISATAP, og klik derefter på Rediger.
9. Skriv 1 i boksen Værdidata for at aktivere NUD, og klik derefter på OK.
   
   Bemærk! Skriv 0 (nul) for at deaktivere NUD, og klik derefter på OK.
10. Luk Registreringseditor, og genstart computeren.

Den engelske (USA) version af denne softwareopdatering installerer filer med de filattributter, der findes i følgende tabeller. Dato og klokkeslæt for disse filer er angivet i UTC-format (Universal Time Coordinates). Datoerne og klokkeslættene for filerne vises på din lokale computer i den lokale tid med din aktuelle indstilling for sommertid. Datoer og klokkeslæt kan desuden også blive ændret, når du udfører bestemte handlinger på filerne.

Filoplysninger for Windows XP og Windows Server 2003

• De filer, der gælder for en bestemt milepæl (RTM, SPn) og servicegren (QFE, GDR), er angivet i kolonnerne "SP-krav" og "Servicegren".
• GDR-servicegrene indeholder kun de programrettelser, der er alment tilgængelige og udgivet til at løse kendte, alvorlige problemer. QFE-servicegrene indeholder både hotfix og alment tilgængelige programrettelser.
• Ud over de filer, der er angivet i disse tabeller, installerer denne softwareopdatering også en tilhørende sikkerhedskatalogfil (KBnummer.cat), som signeres med en digital Microsoft-signatur.

Alle understøttede x86-baserede versioner af Windows XP

Alle understøttede x64-baserede udgaver af Windows Server 2003 eller Windows XP Professional

Alle understøttede x86-baserede versioner af Windows Server 2003

Alle understøttede IA-64-baserede versioner af Windows Server 2003

Filoplysninger for Windows Vista og Windows Server 2008

• Filversionsnummeret angiver, hvilke filer der gælder for et bestemt produkt, en bestemt milepæl (RTM, SPn) og en bestemt servicegren (LDR, GDR), som vist i følgende tabel.
  Skjul tabellenUdvid tabellen

  Version	Produkt	Milepæl	Servicegren
  6.0.6000.16xxx	Windows Vista	RTM	GDR
  6.0.6000.20xxx	Windows Vista	RTM	LDR
  6.0.6001.18xxx	Windows Vista SP1 og Windows Server 2008 SP1	SP1	GDR
  6.0.6001.22xxx	Windows Vista SP1 og Windows Server 2008 SP1	SP1	LDR
  6.0.6002.18xxx	Windows Vista SP2 og Windows Server 2008 SP2	SP2	GDR
  6.0.6002.22xxx	Windows Vista SP2 og Windows Server 2008 SP2	SP2	LDR

• Service Pack 1 er integreret i den endelige udgave af Windows Server 2008. Filerne for RTM-milepælen gælder derfor kun for Windows Vista. Filer for RTM-milepælen har et versionsnummer af typen 6.0.0000.xxxxxx.
• GDR-servicegrene indeholder kun de programrettelser, der er alment tilgængelige og udgivet til at løse kendte, alvorlige problemer. LDR-servicegrene indeholder både hotfix og alment tilgængelige programrettelser.
• De MANIFEST-filer (.manifest) og MUM-filer (.mum), der installeres for de enkelte miljøer, er angivet separat. MUM- og MANIFEST-filer og de tilhørende sikkerhedskatalogfiler (.cat) er afgørende for at kunne vedligeholde tilstanden for den opdaterede komponent. Sikkerhedskatalogfilerne (attributterne er ikke angivet) signeres med en digital Microsoft-signatur.

Alle understøttede x86-baserede versioner af Windows Vista og Windows Server 2008

Alle understøttede x64-baserede versioner af Windows Vista og Windows Server 2008

Alle understøttede IA-64-baserede versioner af Windows Server 2008

Oplysninger om flere filer til Windows Vista og Windows Server 2008

Flere filer til alle understøttede x86-baserede versioner af Windows Vista og Windows Server 2008

Flere filer til alle understøttede x64-baserede versioner af Windows Vista og Windows Server 2008

Flere filer til alle understøttede IA-64-baserede versioner af Windows Server 2008