Microsoft-Sicherheitsempfehlung: Update zum verbesserten Schutz und zur besseren Verwaltung der Anmeldeinformationen: 13. Mai 2014


EINFÜHRUNG


Microsoft hat zu diesem Problem eine Microsoft-Sicherheitsempfehlung für IT-Experten veröffentlicht. Diese Sicherheitsempfehlung enthält zusätzliche sicherheitsrelevante Informationen. Die Sicherheitsempfehlung finden Sie auf der folgenden Microsoft-Website:
Wichtig Neben dem Update 2871997 gab es verschiedene andere Updates zur Verbesserung des Schutzes von Anmeldeinformationen. Lesen Sie diesen Artikel sorgfältig durch, um sich über sämtliche verfügbaren Updates zu informieren.


Häufig gestellte Fragen zu diesem Update

Enthält dieses Update auch andere sicherheitsrelevante Änderungen der Funktionalität?
Zusätzlich zu den Änderungen, die für die in diesem Bulletin beschriebenen Sicherheitsrisiken aufgeführt sind, enthält dieses Update Tiefenverteidigungsänderungen, um den Schutz der Anmeldeinformationen und Domänenauthentifizierungskontrollen zu verbessern und dadurch dem Diebstahl von Anmeldeinformationen entgegen zu wirken. Weitere Informationen finden Sie in der Microsoft-Sicherheitsempfehlung 2871997.

Weitere Informationen


Dieses Update führt die Registrierungseinstellung „TokenLeakDetectDelaySecs“ ein

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows

Nach der Installation dieses Sicherheitsupdates wird in der Standardeinstellung für ungeschützte Benutzer unter Windows 7 und Windows 8 die Löschung offengelegter Anmeldeinformationen von Anmeldesitzungen nicht erzwungen. Um diese Standardeinstellung zu überschreiben, können Sie den folgenden Dword-Wert der Registrierung hinzufügen und auf den empfohlenen Wert von 30 Sekunden festlegen.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TokenLeakDetectDelaySecs

Dies bewirkt, dass alle Anmeldeinformationen 30 Sekunden nach der Abmeldung der Benutzer gelöscht werden, ungeachtet dessen, ob noch darauf verwiesen wird. Dies entspricht dem Standardverhalten unter Windows 8.1 und Windows 10.

Standardverhalten nach der Installation von Sicherheitsupdate 3126593 (MS16-014)

Nachdem Sie das Sicherheitsupdate 3126593 installiert haben, wird standardmäßig die Löschung der Anmeldeinformationen für alle Benutzer erzwungen. Wenn Sie das vorherige Legacyverhalten wiederherstellen möchten, legen Sie „TokenLeakDetectDelaySecs“ auf „0“ fest. Dies bewirkt, dass die Anmeldeinformationen von nicht geschützten abgemeldeten Benutzern nicht gelöscht werden, solange darauf verwiesen wird.

 

Revisionen

Am 14. Oktober 2014 veröffentlichte Microsoft die folgenden Updates, um einen eingeschränkten Administratormodus für Remotedesktopverbindung und Remotedesktopprotokoll hinzuzufügen:
2984972 für unterstützte Editionen von Windows 7 und Windows Server 2008 R2

2984976 für unterstützte Editionen von Windows 7 und Windows Server 2008 R2 mit installiertem Update 2592687 (Remote Desktop Protocol 8.0-Update). Kunden, die das Update 2984976 installieren, müssen auch folgendes Update installieren: 2984972.

2984981 für unterstützte Editionen von Windows 7 und Windows Server 2008 R2 mit installiertem Update 2830477 (Remote Desktop Connection 8.1-Clientupdate). Kunden, die das Update 2984981 installieren, müssen auch folgendes Update installieren: 2984972.

2973501 für unterstützte Editionen von Windows 8, Windows Server 2012 und Windows RT.

Hinweis Unterstützte Editionen von Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 enthalten dieses Feature bereits, sodass dieses Update hier nicht erforderlich ist.

Am 9. September 2014 veröffentlichte Microsoft Folgendes:
2982378 Microsoft-Sicherheitsempfehlung: Update zur Verbesserung des Schutzes von Anmeldeinformationen und der Verwaltung für Windows 7 und Windows Server 2008 R2: 9. September 2014
Am 8. Juli 2014 veröffentlichte Microsoft Folgendes:
2973351 Microsoft-Sicherheitsempfehlung: Registrierungsupdate zur Verbesserung des Schutzes von Anmeldeinformationen und der Verwaltung von Windows-Systemen, auf denen das Update 2919355 installiert ist: 8. Juli 2014
2975625 Microsoft-Sicherheitsempfehlung: Registrierungsupdate zur Verbesserung des Schutzes von Anmeldeinformationen und der Verwaltung von Windows-Systemen, auf denen das Update 2919355 nicht installiert ist: 8. Juli 2014
Dieses Update enthält konfigurierbare Registrierungseinstellungen für die Verwaltung des eingeschränkten Administratormodus für CredSSP (Credential Security Support Provider).


Hinweis Dieses Update ändert die Funktionalität des eingeschränkten Administratormodus in Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1. Weitere Informationen finden Sie im Abschnitt „Häufig gestellte Fragen“ der Sicherheitsempfehlung. Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung:

Hinweis Ermitteln Sie anhand der folgenden Tabelle, welche Updates für Ihr System geeignet sind.
 
KB-Nummer des Sicherheitsupdates Betriebssystem
2973351 Windows 8.1- und Windows Server 2012 R2-Systeme, auf denen Update 2919355 installiert wurde
2975625 Windows 8.1- und Windows Server 2012 R2-Systeme, auf denen Update 2919355 nicht installiert wurde
2973501 Windows 8, Windows Server 2012 und Windows RT
2871997 Windows 7, Windows Server 2008 R2, Windows 8 und Windows Server 2012
2973351 Windows 7, Windows Server 2008 R2, Windows 8 und Windows Server 2012
2982378 Windows 7 und Windows Server 2008 R2
2984972 Windows 7 und Windows Server 2008 R2
2984976 Windows 7 und Windows Server 2008 R2 mit installiertem Update 2592687. 2984972 muss ebenfalls installiert sein.
2984981 Windows 7 und Windows Server 2008 R2 mit installiertem Update 2830477. 2984972 muss ebenfalls installiert sein.

WDigest-Einstellungen

Nach der Installation dieses Sicherheitsupdates können Sie unter Verwendung einer Registrierungseinstellung steuern, wie installierte WDigest-Anmeldeinformationen gespeichert werden können. Um zu verhindern, dass WDigest-Anmeldeinformationen im Arbeitsspeicher gespeichert werden, kann eine Gruppenrichtlinieneinstellung auf den Registrierungseintrag UseLogonCredential unter folgendem Unterschlüssel angewendet werden:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest
  • Wenn der UseLogonCredential-Wert auf 0 festgelegt ist, speichert WDigest die Anmeldeinformationen nicht im Arbeitsspeicher.
  • Ist der UseLogonCredential-Wert auf 1 festgelegt, speichert WDigest die Anmeldeinformationen im Arbeitsspeicher.
Nach der Installation dieses Sicherheitsupdates lautet in Windows 7, Windows Server 2008 R2, Windows 8 und Windows Server 2012 die Standardeinstellung für diesen Wert 1. Sie können die „Einfache Lösung‟ in diesem Artikel verwenden, um diese Einstellung in 0 zu ändern. Dadurch wird das Speichern von WDigest-Kennwörtern im Arbeitsspeicher deaktiviert.

Hinweis Standardmäßig ist in Windows 8.1 und Windows Server 2012 R2 und höheren Versionen das Zwischenspeichern von Anmeldeinformationen im Arbeitsspeicher für WDigest deaktiviert (der UseLogonCredential-Wert ist standardmäßig auf „0“ festgelegt, wenn dieser Registrierungseintrag nicht vorhanden ist).

Die Verhaltensänderung, die Sie feststellen können, wenn der UseLogonCredential-Wert auf 0 festgelegt ist, besteht darin, dass die Anmeldeinformationen bei Verwendung von WDigest häufiger angefordert werden.

Hier ist eine einfache Lösung

Diese einfache Lösung ändert den Registrierungsschlüssel UseLogonCredential, sodass WDigest-Kennwörter nicht mehr im Arbeitsspeicher gespeichert werden. Nachdem Sie das Sicherheitsupdate 2871997 installiert und dann diese „Einfache Lösung‟ auf Systeme mit Windows 7, Windows Server 2008 R2, Windows 8 oder Windows Server 2012 angewendet haben, sollten keine Klartext-Anmeldeinformationen mehr im Arbeitsspeicher gespeichert werden.

Hinweis Sie müssen Sicherheitsupdate 2871997 installieren, bevor Sie diese „Einfache Lösung‟ anwenden können.

Um diese „Einfache Lösung‟ zu aktivieren, klicken Sie auf die Schaltfläche Download. Klicken Sie im Dialogfeld Dateidownload auf Ausführen oder Öffnen, und führen Sie dann die Schritte in diesem Assistenten aus.
  • Dieser Assistent ist möglicherweise nur in Englisch verfügbar. Die automatische Korrektur funktioniert aber auch für andere Sprachversionen von Windows.
  • Wenn Sie sich nicht an dem Computer befinden, auf dem das Problem auftritt, speichern Sie die „Einfache Lösung“ auf einem Speicherstick oder einer CD, und führen Sie sie anschließend auf dem vom Problem betroffenen Computer aus.
Das Speichern von WDigest-Kennwörtern im Arbeitsspeicher deaktivieren

DATEIINFORMATIONEN


Die englische Version (USA) dieses Softwareupdates installiert Dateien mit den in der nachstehenden Tabelle aufgelisteten Attributen. Datums- und Uhrzeitangaben für diese Dateien sind in der koordinierten Weltzeit (UTC) angegeben. Die Datums- und Uhrzeitangaben für diese Dateien werden auf Ihrem lokalen Computer in Ihrer Ortszeit und unter Berücksichtigung der Sommerzeit angegeben. Außerdem können sich die Datums- und Uhrzeitangaben ändern, wenn Sie bestimmte Operationen mit den Dateien ausführen.