MS15-121: Sicherheitsupdate für Schannel zum Unterbinden von Spoofing: 10. November 2015

Windows Server 2012 R2 DatacenterWindows Server 2012 R2 StandardWindows Server 2012 R2 Essentials

Zusammenfassung


Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft Windows. Das Sicherheitsrisiko kann Spoofing ermöglichen, wenn ein Angreifer einen Man-in-the-Middle-Angriff (MiTM) zwischen einem Client und einem legitimen Server ausführt.

Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter Microsoft Security Bulletin MS15-121.

Weitere Informationen


Wichtig
  • Zum Empfang aller künftigen Sicherheitsupdates und nicht sicherheitsrelevanten Updates für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 wird die Installation von Update 2919355 vorausgesetzt. Wir empfehlen Ihnen, das Update 2919355 auf Ihrem Computer mit Windows RT 8.1, Windows 8.1 oder Windows Server 2012 R2 zu installieren, damit Sie auch in Zukunft Updates erhalten.
  • Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, dass Sie alle benötigen Language Packs vor diesem Update installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.

Bekannte Probleme bei diesem Sicherheitsupdate

  • 3144474 TFS-Anwendungspool und "Certreq.exe" stürzen ab, nachdem das Sicherheitsupdate 3081320 in Windows Server 2012 R2 installiert worden ist
  • Dieses Update nimmt Änderungen vor, die für die TLS-Erweiterung (Extended Master Secret Transport Layer Security) erforderlich sind. Diese Änderungen beeinträchtigen alle vorhandenen CNG-SSL-Anbieter (Cryptographic Next Generation). Wir empfehlen Ihnen, wegen der Aktualisierung der CNG-SSL-Anbieter mit dem Hersteller zusammenarbeiten. In der Zwischenzeit können Sie die Registrierung bearbeiten und die Erweiterung "Extended Master Secret" (Erweiterter geheimer Hauptschlüssel) deaktivieren, um dieses Problem zu umgehen.


    Warnung Diese Problemumgebung sollte lediglich als temporärer Notbehelf bis zur Aktualisierung der CNG SSL-Anbieter verwendet werden. Da diese Problemumgebung dieses Sicherheitsupdate deaktiviert, werden alle Schutzmaßnahmen, die durch dieses Sicherheitsupdate bereitgestellt werden, durch diese Problemumgebung aufgehoben. Diese Problemumgehung wird nicht von Microsoft empfohlen, wird jedoch hier aufgeführt, damit Sie diese Option nach eigenem Ermessen anwenden können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.


    Weitere Informationen finden Sie auf der folgenden Microsoft-Website:
    WichtigDieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie eine Sicherungskopie der Registrierung erstellen, bevor Sie sie bearbeiten. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    322756 Sichern und Wiederherstellen der Registrierung in Windows
    Gehen Sie wie folgt vor, um diese Registrierungsänderungen vorzunehmen:
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie im Feld Öffnen den Befehl regedit ein, und klicken Sie auf OK.
    2. Suchen Sie den folgenden Unterschlüssel in der Registrierung, und klicken Sie darauf:
      HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
    3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert.
      • Geben Sie für den Computer, der die Verbindungsanforderung erhält, DisableServerExtendedMasterSecret: REG_DWORD als Namen des DWORD-Werts ein, und drücken Sie die EINGABETASTE.
      • Geben Sie für den Computer, der die Verbindungsanforderung initiiert, DisableClientExtendedMasterSecret: REG_DWORD als Namen des DWORD-Werts ein, und drücken Sie die EINGABETASTE.
    4. Klicken Sie mit der rechten Maustaste auf den neuen DWORD-Eintrag, und klicken Sie dann auf Ändern.
    5. Geben Sie 1 (oder einen beliebigen Wert ungleich null) in das Feld Wertdaten ein, um die TLS-Erweiterung zu deaktivieren.
    Hinweis Sie müssen den Computer nicht neu starten, nachdem Sie die DisableClientExtendedMasterSecret-Registrierungseinstellungen geändert haben. Allerdings müssen Sie den Computer neu starten, wenn Sie die DisableClientExtendedMasterSecret-Registrierungseinstellungen löschen.

Bezug und Installation des Updates


Methode 1: Windows Update

Dieses Update ist über Windows Update erhältlich. Wenn Sie die automatische Aktualisierung einschalten, wird das Update heruntergeladen und automatisch installiert. Weitere Informationen zum Aktivieren der automatischen Aktualisierung finden Sie unter
Sicherheitsupdates automatisch laden.

Hinweis Für Windows RT und Windows RT 8.1 ist dieses Update nur über Windows Update erhältlich.

Weitere Informationen