MS15-096: Sicherheitsrisiko in Active Directory kann einen Denial-of-Service-Angriff ermöglichen: 8. September 2015

Gilt für: Windows Server 2012 R2 DatacenterWindows Server 2012 R2 StandardWindows Server 2012 R2 Essentials Mehr

Zusammenfassung


Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Active Directory-Verbunddiensten (AD FS). Das Sicherheitsrisiko kann Denial-of-Service ermöglichen, wenn ein authentifizierter Angreifer mehrere Computerkonten erstellt. Ein Angreifer muss über gültige Anmeldeinformationen verfügen, um dieses Sicherheitsrisiko ausnutzen zu können.

Dieses Sicherheitsupdate verhindert, dass Nicht-Administratoren den Kontotyp vorhandener Benutzer- und Computerkonten ändern. Nach der Installation dieses Sicherheitsupdates können Sie keine Flags im Registrierungseintrag UserAccountControl ändern, um den Kontotyp zu ändern. Der am häufigsten betroffene Vorgang ist, wenn Anwendungen interaktiv oder programmgesteuert Objekte in Active Directory als Benutzerkonten erstellen und diese dann in Computerkonten umwandeln oder umgekehrt, indem der UserAccountControl-Wert geändert wird. Eine vorbeugende Maßnahme stellt die Festlegung des gewünschten UserAccountControl-Werts beim Erstellen von Benutzer- oder Computerobjekten dar. Beispielsweise sollten Objekte, die als Computerkonten dienen sollen, bei der Objekterstellung im UserAccountControl-Wert WORKSTATION_TRUST_ACCOUNT enthalten.

Das Sicherheitsupdate verhindert auch, dass ein Computerkonto weitere Computerkonten in einer anderen Domäne mit der Computerkontenberechtigung SeMachineAccountPrivilege erstellt. Falls ein solches Szenario erforderlich ist, können Administratoren dem domänenübergreifenden Computerkonto explizite Berechtigungen in dem Container, in dem die Computerkonten erstellt werden müssen, erteilen. 

Weitere Informationen zu diesem Sicherheitsrisiko finden Sie in Microsoft Security Bulletin MS15-096.

Weitere Informationen


Wichtig
  • Alle künftigen Sicherheitsupdates und nicht sicherheitsrelevanten Updates für Windows Server 2012 R2 erfordern die Installation von Update 2919355. Wir empfehlen Ihnen, das Update 2919355 auf Ihrem Computer mit Windows Server 2012 R2 zu installieren, damit Sie auch in Zukunft Updates erhalten.
  • Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, dass Sie alle benötigen Language Packs vor diesem Update installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.

Bezug und Installation des Updates


Methode 1: Windows Update

Dieses Update ist über Windows Update erhältlich. Wenn Sie die automatische Aktualisierung einschalten, wird das Update heruntergeladen und automatisch installiert. Weitere Informationen zum Aktivieren der automatischen Aktualisierung finden Sie unter
Aktualisieren für höhere Sicherheit beim Surfen im Internet.

Weitere Informationen