Für Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 ist ein automatisches Update für nicht vertrauenswürdige Zertifikate verfügbar

Gilt für: Windows Server 2008 DatacenterWindows Server 2008 Datacenter without Hyper-VWindows Server 2008 Enterprise

EINFÜHRUNG


Für Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 ist ein automatisches Update für nicht vertrauenswürdige Zertifikate verfügbar. Mit diesem Update wird der vorhandene Mechanismus für die automatische Aktualisierung der Stammzertifikate in Windows Vista und in Windows 7 erweitert, um Zertifikate, die auf irgendeine Weise gefährdet oder nicht vertrauenswürdig sind, speziell als nicht vertrauenswürdig zu kennzeichnen.

Eine Zertifikatvertrauensliste (CTL) ist eine vordefinierte Liste mit Elementen, die von einer vertrauenswürdigen Entität signiert wurden. Alle Elemente in der Liste wurden von einer vertrauenswürdigen Signierentität authentifiziert und genehmigt. Mit diesem Update wird diese vorhandene Funktionalität erweitert, indem bekannte nicht vertrauenswürdige Zertifikate unter Verwendung einer CTL, die entweder ihren öffentlichen Schlüssel oder ihren Signaturhash enthält, zum Speicher für nicht vertrauenswürdige Zertifikate hinzugefügt werden. Nach der Installation dieses Updates profitieren Kunden von schnellen automatischen Updates nicht vertrauenswürdiger Zertifikate.

Benutzer, die nicht verbundene Systeme haben, profitieren von dieser Funktionsverbesserung nicht. Diese Kunden müssen weiterhin die Updates der Stammzertifikate installieren, sobald diese verfügbar sind. Lesen Sie bitte den Abschnitt "Weitere Informationen".


Als Teil dieses Updates wurden die URLs geändert, die zum Kontaktieren von Windows Update verwendet wurden, um die nicht vertrauenswürdigen und vertrauenswürdigen CTLs herunterzuladen. Dies kann für Unternehmen, die diese URLs in ihren Firewalls als Ausnahmen hartcodiert haben, Probleme verursachen.

Die neuen URLs sind im Folgenden aufgeführt:




Weitere Informationen


Benutzer, die getrennte Systeme haben, können dieses Update installieren. Diese Benutzer profitieren jedoch nicht von diesem Update. Die Installation dieses Updates kann sogar unmittelbar nach dem Neustart des Servers zu Startfehlern bei Diensten führen. Bei Diensten, die Zertifikatüberprüfungen beim Starten des Dienstes ausführen, kann während des Netzwerksabrufs der vertrauenswürdigen und nicht vertrauenswürdigen CTLs von Windows Update eine lange Verzögerung auftreten.

Wenn Sie ein System mit Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 und dem automatischen Update für nicht vertrauenswürdige Zertifikate verwenden (d. h., wenn KB 2677070 oder KB 2813430 bereits installiert wurde), finden Sie im restlichen Teil dieses Abschnitts und zudem im Microsoft Knowledge Base-Artikel 2813430 weitere Informationen. Die Kunden müssen keine Maßnahmen ergreifen, weil diese System automatisch geschützt werden.

Wenn das System nicht auf Windows Update zugreifen kann, weil es entweder nicht mit dem Internet verbunden ist oder Windows Update durch Firewallregeln blockiert wird, kommt es beim Netzwerkabruf zu einer Zeitüberschreitung, bevor der Dienst den Startvorgang fortsetzen kann. In einigen Fällen kann diese Zeitüberschreitung des Netzwerkabrufs die Startzeit des Dienstes von 30 Sekunden überschreiten. Wenn ein Dienst nicht melden kann, dass der Startvorgang nach 30 Sekunden abgeschlossen ist, wird der vom Dienststeuerungs-Manager (SCM) beendet.

Wenn Sie nicht vermeiden können, dieses Update auf nicht verbundenen Systemen zu installieren, können Sie den Netzwerkabruf der vertrauenswürdigen und nicht vertrauenswürdigen CTLs deaktivieren. Deaktivieren Sie dazu die automatische Aktualisierung der Stammzertifikate mithilfe der Gruppenrichtlinieneinstellungen. Um die automatische Aktualisierung der Stammzertifikate mithilfe von Richtlinieneinstellungen zu deaktivieren, gehen Sie folgendermaßen vor:
  1. Erstellen Sie eine Gruppenrichtlinie oder ändern Sie eine vorhandene Gruppenrichtlinie im Editor für lokale Gruppenrichtlinien.
  2. Doppelklicken Sie im Editor für lokale Gruppenrichtlinien unter dem Knoten Computerkonfiguration auf Richtlinien.
  3. Doppelklicken Sie auf Windows-Einstellungen, doppelklicken Sie auf Sicherheitseinstellungen, und doppelklicken Sie dann auf Richtlinien für öffentliche Schlüssel.
  4. Doppelklicken Sie im Detailbereich auf Einstellungen für die Überprüfung des Zertifikatpfades.
  5. Klicken Sie auf die Registerkarte Netzwerkabruf, wählen Sie Diese Richtlinieneinstellungen definieren und deaktivieren Sie dann das Kontrollkästchen Zertifikate im Microsoft-Programm für Stammzertifikate automatisch aktualisieren (empfohlen).
  6. Klicken Sie auf OK, und schließen Sie dann den Editor für lokale Gruppenrichtlinien.
Nachdem Sie diese Änderung vorgenommen haben, sind automatische Aktualisierungen der Stammzertifikate auf den Systemen deaktiviert, auf denen die Richtlinie angewendet wird. Wir empfehlen, die Richtlinie nur auf diejenigen Systeme anzuwenden, die keinen Internetzugriff haben oder die aufgrund von Firewallregeln nicht auf Windows Update zugreifen können.

Wenn die automatische Aktualisierung von Stammzertifikaten deaktiviert ist, müssen Administratoren Stammzertifikate, die von Windows als vertrauenswürdig eingestuft werden, manuell verwalten. Vertrauenswürdige Stammzertifikate können mithilfe einer Gruppenrichtlinie auf Computern mit Windows verteilt werden. Weitere Informationen dazu, wie Sie die Stammzertifikate verwalten, die von Windows als vertrauenswürdig eingestuft werden, finden Sie auf der folgenden Microsoft-Website:

Weitere Informationen zur Windows-Zertifikatvertrauensüberprüfung finden Sie auf den folgenden Microsoft-Webseiten:
Weitere Informationen zum Windows-Programm für Stammzertifikate finden Sie im folgenden Artikel der Microsoft Knowledge Base:
931125 Mitglieder des Windows-Programms für Stammzertifikate

Ersetzte Updates

Dieses Update ersetzt das folgende Update:

2603469 Sicherung des Systemstatus umfasst in Windows Server 2008 oder Windows Server 2008 R2 keine privaten CA-Schlüssel

Informationen zum Download


Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung:

Alle unterstützten x86-basierten Versionen von Windows Vista

Download Paket „Windows6.0-KB2677070-x86.msu“ jetzt herunterladen.

Alle unterstützten x64-basierten Versionen von Windows Vista

Download Paket „Windows6.0-KB2677070-x64.msu“ jetzt herunterladen.

Für alle unterstützten x86-basierten Versionen von Windows Server 2008

Download Paket „Windows6.0-KB2677070-x86.msu“ jetzt herunterladen.

Alle unterstützten x64-basierten Versionen von Windows Server 2008

Download Paket „Windows6.0-KB2677070-x64“ jetzt herunterladen.

Alle unterstützten IA-64-basierten Versionen von Windows Server 2008

Download Paket „Windows6.0-KB2677070-ia64.msu“ jetzt herunterladen.

Alle unterstützten x86-basierten Versionen von Windows 7

Download Paket „Windows6.1-KB2677070-x86.msu“ jetzt herunterladen.

Alle unterstützten x64-Versionen von Windows 7

Download Paket „Windows6.1-KB2677070-x64.msu“ jetzt herunterladen.

Alle unterstützten x64-basierten Versionen von Windows Server 2008 R2

Download Paket „Windows6.1-KB2677070-x64.msu“ jetzt herunterladen.

Alle unterstützten IA-64-basierten Versionen von Windows Server 2008 R2

Download Paket „Windows6.1-KB2677070-ia64.msu“ jetzt herunterladen.

Veröffentlichungsdatum: 12. Juni 2012

Weitere Informationen zum Herunterladen von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Dazu wurde die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Dateiinformationen


Eine Liste der Dateien, die in diesem Update bereitgestellt werden, finden Sie in Dateiinformationen für dieses Update 2677070.