Microsoft-Sicherheitsempfehlung: Update zur Stärkung der Sicherheit bei Verwendung der DES-Verschlüsselung: 14. Juli 2015

EINFÜHRUNG

Microsoft stellt eine Sicherheitsempfehlung zu diesem Thema für IT-Experten zur Verfügung. Diese Sicherheitsempfehlung enthält zusätzliche sicherheitsrelevante Informationen. Die Sicherheitsempfehlung finden Sie auf der folgenden Microsoft-Website:

Weitere Informationen

Wichtig
  • Zum Empfang aller künftigen Sicherheitsupdates und nicht sicherheitsrelevanten Updates für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 wird die Installation von Update 2919355 vorausgesetzt. Wir empfehlen Ihnen, das Update 2919355 auf Ihrem Computer mit Windows RT 8.1, Windows 8.1 oder Windows Server 2012 R2 zu installieren, damit Sie auch in Zukunft Updates erhalten.
  • Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, dass Sie alle benötigen Language Packs vor diesem Update installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.

Häufig gestellte Fragen (FAQ)

Wie stelle ich sicher, dass Dienste, die für die Kerberos-Authentifizierung nur DES-Verschlüsselung (DES für Kerberos) verwenden können, weiterhin funktionieren?

Sie können Dienstkonten so konfigurieren, dass sie nur DES-Standardverschlüsselungstypen (Data Encryption Standard) unterstützen, indem Sie in der Benutzeroberfläche der Kontenverwaltung die Einstellung Kerberos-DES-Verschlüsselungstypen für dieses Konto verwenden aktivieren. Klicken Sie dazu im Snap-In "Active Directory-Benutzer und -Computer" (DSA.MSC) bei den Eigenschaften eines Sicherheitsprinzipals auf das Kontrollkästchen DES verwenden. Dadurch wird das Flag Use DES-ONLY im Benutzerkontensteuerung-Attribut des Kontos festgelegt. Diese Einstellung überschreibt andere konfigurierte Verschlüsselungstypen, damit DES der einzige Verschlüsselungstyp ist.

Durch eine derartige Kontenkonfiguration können Domänenadministratoren auf einfache Weise alle Konten auf "Nur-DES"-Kerberos-Plattformen erkennen und festlegen, wann sie deaktiviert werden, damit Gruppenrichtlinienobjekte, die für Windows die DES-Unterstützung hinzufügen, aktualisiert oder entfernt werden können. 

Aufgrund der bekannten Schwachstelle in DES empfehlen wir, dass auf DES beschränkte Dienste nur Zugriff auf öffentliche Daten und niemals Zugriff auf Daten haben sollten, deren Beschädigung Auswirkungen auf das Unternehmen hätte.

Wie stelle ich sicher, dass Dienste, auf die Clients, die nur DES für Kerberos verwenden, zugreifen, weiterhin funktionieren?

DES muss sich in der Liste der unterstützten Verschlüsselungstypen (msDS-SupportedEncryptionTypes-Attribut) für das Dienstkontoobjekt befinden.

Wenn auf einem in eine Domäne eingebundenen Host Windows Server 2008 oder spätere Versionen ausgeführt werden, müssen Dienste, die die Identität des Systems verwenden, zur Unterstützung von DES nur den Host aktivieren. Windows konfiguriert das Computerkonto automatisch so, dass die Verschlüsselungstypen verwendet werden, die vom Betriebssystem unterstützt werden. Verwaltete Windows 2008 R2-Dienstkonten werden ebenfalls automatisch konfiguriert.

Wenn für den Dienst eine manuelle Konfiguration erforderlich ist, sollten Konten mit dem PowerShell-Cmdlet des Kontotyps zusammen mit dem Parameter KerberosEncryptionType verwendet werden, um sicherzustellen, dass alle Verschlüsselungstypen ordnungsgemäß konfiguriert sind. Durch die Verwendung von Active Directory-Benutzern und -Computern oder des Active Directory-Verwaltungscenters zur Konfiguration des Kontos für die Unterstützung von DES wird der Dienst auf DES beschränkt. Dadurch werden Clients, die kein DES unterstützen, abgebrochen.

Wie konfiguriere ich Benutzer, die regelmäßig auf DES beschränkte Plattformen verwenden?

Benutzer von auf DES beschränkte Kerberos-Plattformen sollten niemals Zugriff auf Daten haben, die sich auf das Unternehmen auswirken könnten. Sie sollten nur auf öffentliche Daten zugreifen können. Für diese Benutzer sollten gesonderte Konten angelegt werden, die keinen Zugriff auf Daten haben, die sich auf das Unternehmen auswirken könnten. Diese Konten können für eine auf DES beschränkte Verschlüsselung konfiguriert werden.

Wie überprüfe ich die DES-Verwendung in meiner Umgebung?

Siehe Hunting down DES in order to securely deploy Kerberos.

Bezug und Installation des Updates

Methode 1: Windows Update

Dieses Update ist über Windows Update erhältlich. Wenn Sie die automatische Aktualisierung einschalten, wird das Update heruntergeladen und automatisch installiert. Weitere Informationen zum Aktivieren der automatischen Aktualisierung finden Sie unter
Sicherheitsupdates automatisch laden.

Hinweis Für Windows RT und Windows RT 8.1 ist dieses Update nur über Windows Update erhältlich.
Methode 2: Microsoft Download Center

Weitere Informationen

Dateihashinformationen

Dateiinformationen

Dateiinformationen für Windows Vista und Windows Server 2008
Dateiinformationen für Windows 7 und Windows Server 2008 R2
Dateiinformationen für Windows 8 und Windows Server 2012
Eigenschaften

Artikelnummer: 3057154 – Letzte Überarbeitung: 11.12.2015 – Revision: 1

Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows 8 Enterprise, Windows 8 Pro, Windows 8, Windows RT, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2, Windows Server 2008 R2 Foundation, Windows 7 Service Pack 1, Windows 7 Ultimate, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Home Premium, Windows 7 Home Basic, Windows 7 Starter, Windows Server 2008 Service Pack 2, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Server 2008 Foundation, Windows Server 2008 for Itanium-Based Systems, Windows Vista Service Pack 2, Windows Vista Ultimate, Windows Vista Enterprise, Windows Vista Business, Windows Vista Home Premium, Windows Vista Home Basic, Windows Vista Starter

Feedback