MS15-074: Sicherheitsrisiko im Windows-Installationsdienst kann Rechteerweiterungen ermöglichen: 14. Juli 2015

Gilt für: Windows Server 2012 R2 DatacenterWindows Server 2012 R2 StandardWindows Server 2012 R2 Essentials

Zusammenfassung


Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Windows, das Rechteerweiterungen ermöglichen kann, wenn der Windows-Installationsdienst Skripts für benutzerdefinierte Aktionen nicht ordnungsgemäß ausführt. Um das Sicherheitsrisiko ausnutzen zu können, muss ein Angreifer zunächst Zugriff auf das Konto eines beim Zielsystem angemeldeten Benutzers erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen administrativen Benutzerrechten erstellen. Weitere Informationen zu diesem Sicherheitsrisiko finden Sie in Microsoft Security Bulletin MS15-074.

Weitere Informationen


Wichtig
  • Zum Empfang aller künftigen Sicherheitsupdates und nicht sicherheitsrelevanten Updates für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 wird die Installation von Update 2919355 vorausgesetzt. Wir empfehlen Ihnen, das Update 2919355 auf Ihrem Computer mit Windows RT 8.1, Windows 8.1 oder Windows Server 2012 R2 zu installieren, damit Sie auch in Zukunft Updates erhalten.
  • Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, dass Sie alle benötigen Language Packs vor diesem Update installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.
Informationen zu Installationen, die von dem weniger sicheren Verhalten abhängig sind
WichtigFühren Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Bevor Sie Änderungen vornehmen, sichern Sie die Registrierung, um sie wiederherstellen zu können, falls Probleme auftreten.
  • Anwendungen, die Installationen verwenden, die die von dem nicht so sichere Verhalten abhängig sind, werden möglicherweise nicht ordnungsgemäß installiert. Wenn die Installation dieser Anwendungen unbedingt erforderlich ist, können IT-Administratoren dieses Sicherheitsupdate durch die Änderung einer Registrierungseinstellung zeitweilig aufheben.

    Hinweis Beachten Sie, dass das Sicherheitsupdate mit dieser Methode deaktiviert wird.

    Gehen Sie wie folgt vor, um das Sicherheitsupdate in KB 3072630 zeitweilig rückgängig zu machen:
    1. Klicken Sie auf Start und anschließend auf Ausführen. Geben Sie in das Feld Öffnen den Namen Regedit ein, und klicken Sie auf OK.
    2. Suchen Sie den folgenden Unterschlüssel in der Registrierung, und klicken Sie darauf:

      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
      Hinweis Erstellen Sie diesen Unterschlüssel, falls er nicht vorhanden ist.
    3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert.
    4. Geben Sie für DWORD-Name RemappedElevatedProxiesPolicy ein, und drücken Sie die Eingabetaste.
    5. Klicken Sie mit der rechten Maustaste auf RemappedElevatedProxiesPolicy, und klicken Sie dann auf Ändern.
    6. Geben Sie im Datenfeld Wert den Wert 1 ein, und klicken Sie dann auf OK.
    7. Installieren Sie die benötigte Anwendung.
    8. Nachdem die Anwendung erfolgreich installiert wurde, setzten Sie den DWORD-Wert RemappedElevatedProxiesPolicy auf 0 zurück, um das Sicherheitsupdate für KB 3072630 wieder zu aktivieren.
Nach der Installation dieses Sicherheitsupdates verhalten sich benutzerdefinierte Aktionen zum Zugreifen auf Benutzerstrukturen in der Registrierung anders. Durch dieses Sicherheitsupdate wird die Anforderung, dass nur benutzerdefinierte Aktionen, die Identitätswechsel verwenden, für den aktuellen Benutzer auf HKCU zugreifen können, strikter erzwungen.

Beschreibung des neuen Verhaltens:
  • Benutzerdefinierte Aktionen mit Identitätswechsel können für den aktuellen Benutzer auf HKCU zugreifen.
  • Benutzerdefinierte Aktionen, die als System ausgeführt werden, greifen unter dem Systemkonto statt dem Konto des aktuellen Benutzers auf HKCU zu.
Wenn Sie nach der Installation dieses Sicherheitsupdates feststellen, dass manche Registrierungsschlüssel in HKCU nicht mehr durch benutzerdefinierte Aktionen festgelegt werden, müssen Sie das MSI-Paket unter Umständen modifizieren, sodass für die betreffende benutzerdefinierte Aktion ein Identitätswechsel durchgeführt wird.


Bekannte Probleme bei diesem Sicherheitsupdate

  • 3153727 Windows Installer kann mit bestimmten Aktionen nicht unter Windows Server 2012 R2 oder Windows Server 2008 R2 SP1 installiert werden

Bezug und Installation des Updates


Methode 1: Windows Update

Dieses Update ist über Windows Update verfügbar. Wenn Sie die automatische Aktualisierung einschalten, wird das Update heruntergeladen und automatisch installiert. Weitere Informationen zum Aktivieren der automatischen Aktualisierung finden Sie unter
Sicherheitsupdates automatisch laden.

Hinweis Für Windows RT und Windows RT 8.1 ist dieses Update nur über Windows Update erhältlich.

Weitere Informationen


Dateiinformationen


Die englische Version (USA) dieses Softwareupdates installiert Dateien mit den in der nachstehenden Tabelle aufgelisteten Attributen. Datums- und Uhrzeitangaben für diese Dateien sind in der "Universal Time Coordinated" (UTC) angegeben. Beachten Sie, dass die Datums- und Uhrzeitangaben für diese Dateien auf Ihrem lokalen Computer in Ihrer Ortszeit und unter Berücksichtigung der Sommerzeit angegeben werden. Die Datums- und Uhrzeitangaben können sich außerdem ändern, wenn Sie bestimmte Vorgänge mit den Dateien ausführen.