MS16-101: Hinweise zum Sicherheitsupdate für Windows-Authentifizierungsmethoden: Dienstag, 9. August 2016

Zusammenfassung

Dieses Sicherheitsupdate behebt mehrere Sicherheitsanfälligkeiten in Microsoft Windows. Die Sicherheitsanfälligkeiten können Rechteerweiterungen ermöglichen, wenn ein Angreifer eine entsprechend manipulierte Anwendung auf einem in eine Domäne eingebundenen System ausführt.

Weitere Informationen zu diesem Sicherheitsrisiko finden Sie im Microsoft-Sicherheitsbulletin MS16-101.

Weitere Informationen

Wichtig

• Alle künftigen sicherheitsrelevanten und nicht sicherheitsrelevanten Updates für Windows 8.1 und Windows Server 2012 R2 setzen die Installation von Update 2919355 voraus. Wir empfehlen Ihnen, das Update 2919355 auf Ihrem Computer mit Windows 8.1 oder Windows Server 2012 R2 zu installieren, damit Sie auch in Zukunft Updates erhalten.

• Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, alle benötigen Language Packs vor diesem Update zu installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.

Bekannte Probleme bei diesem Sicherheitsupdate

• Bekanntes Problem 1
  
  Mit den Sicherheitsupdates in MS16-101 und neueren Updates kann der Aushandlungsprozess nicht mehr auf NTLM zurückgesetzt werden, wenn die Kerberos-Authentifizierung für Kennwortänderungsvorgänge mit dem Fehlercode STATUS_NO_LOGON_SERVERS (0xc000005e) fehlschlägt. In dieser Situation wird möglicherweise einer der folgenden Fehlercodes angezeigt:
  
  

  Hexadezimal	Dezimal	Symbolisch	Fehlermeldung
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.

  
  
  Problemumgehung
  
  Wenn zuvor erfolgreiche Kennwortänderungen nach der Installation von MS16-101 fehlschlagen, basierten vorherige Kennwortänderungen wahrscheinlich auf dem NTLM-Fallback, da Kerberos fehlschlug. Gehen Sie wie folgt vor, um Kennwörter mithilfe von Kerberos-Protokollen erfolgreich zu ändern:
  
  
  

  1. Konfigurieren Sie einen geöffneten TCP-Port 464 zwischen Clients, auf denen MS16-101 installiert ist, und dem Domänencontroller, der Kennwortzurücksetzungen abwickelt.
     
     Schreibgeschützte Domänencontroller (Read-Only Domain Controllers, RODCs) können Self-Service-Kennwortzurücksetzungen abwickeln, falls dem Benutzer dies durch die RODC-Kennwortreplikationsrichtlinie gestattet ist. Benutzern, denen dies durch die RODC-Kennwortreplikationsrichtlinie nicht gestattet ist, benötigen eine Netzwerkverbindung zu einem Lese/Schreib-Domänencontroller (Read/Write Domain Controller, RWDC) in der Domäne des Benutzerkontos.
     
     Hinweis Gehen Sie wie folgt vor, um festzustellen, ob Port 464 geöffnet ist:
     
     
     

     1. Erstellen Sie einen entsprechenden Anzeigefilter für Ihren Netzwerkmonitorparser. Beispiel:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. Suchen Sie in den Ergebnissen nach dem Frame „TCP:[SynReTransmit“.
        
        

  2. Stellen Sie sicher, dass die Ziel-Kerberos-Namen gültig sind. (IP-Adressen sind für das Kerberos-Protokoll nicht zulässig. Kerberos unterstützt kurze Namen und vollqualifizierte Domänennamen.)

  3. Stellen Sie sicher, dass Dienstprinzipalnamen (Service Principal Names, SPNs) ordnungsgemäß registriert sind.
     
     Weitere Informationen finden Sie unter Kerberos und Self-Service-Kennwortzurücksetzung.

• Bekanntes Problem 2
  
  Es gibt ein bekanntes Problem, dass programmgesteuerte Kennwortzurücksetzungen von Domänenbenutzerkonten fehlschlagen und den Fehlercode STATUS_DOWNGRADE_DETECTED (0x800704F1) zurückgeben, wenn einer der folgenden erwarteten Fehler vorliegt:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (wird selten zurückgegeben)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Die folgende Tabelle enthält eine vollständige Aufstellung der Fehlermeldungen.
  
  

  Hexadezimal	Dezimal	Symbolisch	Fehlermeldung
  0x56	86	ERROR_INVALID_PASSWORD	Das angegebene Netzwerkkennwort ist falsch.
  0x267	615	ERROR_PWD_TOO_SHORT	Das Kennwort ist zu kurz und verstößt so gegen die Richtlinien für Ihr Konto. Wählen Sie ein längeres Kennwort.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Beim Versuch, ein Kennwort zu aktualisieren, zeigt dieser Rückgabestatus an, dass der als aktuelles Kennwort angegebene Wert nicht korrekt ist.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Beim Versuch, ein Kennwort zu aktualisieren, zeigt dieser Status an, dass eine Regel zur Kennwortaktualisierung verletzt wurde. Das Kennwort entspricht z. B. nicht der Längenbeschränkung.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Zur Abwicklung der Authentifizierungsanforderung konnte keine Verbindung mit einem Domänencontroller hergestellt werden. Wiederholen Sie den Vorgang zu einem späteren Zeitpunkt.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Zur Abwicklung der Authentifizierungsanforderung konnte keine Verbindung mit einem Domänencontroller hergestellt werden. Wiederholen Sie den Vorgang zu einem späteren Zeitpunkt.

  
  
  Lösung
  
  MS16-101 wurde erneut veröffentlicht, um dieses Problem zu beheben. Installieren Sie die aktuelle Version der Updates für dieses Bulletin, um dieses Problem zu beheben.
  
  

• Bekanntes Problem 3
  
  Es gibt ein bekanntes Problem, dass programmgesteuerte Kennwortzurücksetzungen von lokalen Benutzerkonten fehlschlagen und den Fehlercode STATUS_DOWNGRADE_DETECTED (0x800704F1) zurückgeben.
  
  Die folgende Tabelle enthält eine vollständige Aufstellung der Fehlermeldungen.
  
  

  Hexadezimal	Dezimal	Symbolisch	Fehlermeldung
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Zur Abwicklung der Authentifizierungsanforderung konnte keine Verbindung mit einem Domänencontroller hergestellt werden. Wiederholen Sie den Vorgang zu einem späteren Zeitpunkt.

  
  
  Lösung
  
  MS16-101 wurde erneut veröffentlicht, um dieses Problem zu beheben. Installieren Sie die aktuelle Version der Updates für dieses Bulletin, um dieses Problem zu beheben.
  
  

• Bekanntes Problem 4
  
  Kennwörter für deaktivierte und gesperrte Benutzerkonten können mit dem Aushandlungspaket nicht geändert werden.
  
  
  Kennwortänderungen für deaktivierte und gesperrte Benutzerkonten sind mit anderen Methoden weiterhin möglich, beispielsweise bei direkter Verwendung eines LDAP-Änderungsvorgangs. Beispielsweise verwendet das PowerShell-Cmdlet Set-ADAccountPassword einen LDAP-Änderungsvorgang zum Ändern des Kennworts und ist nicht davon betroffen.
  
  Problemumgehung
  
  Für diese Konten muss ein Administrator Kennwortzurücksetzungen vornehmen. Nach der Installation von MS16-101 und späteren Fehlerbehebungen entspricht dies dem erwarteten Verhalten.
  
  

• Bekanntes Problem 5
  
  Anwendungen, welche die API NetUserChangePassword verwenden und über den Parameter domainname einen Servernamen übergeben, funktionieren nach der Installation von MS16-101 und späteren Updates nicht mehr.
  
  In der Dokumentation von Microsoft ist beschrieben, dass die Angabe eines Remoteservernamens im Parameter domainname der Funktion NetUserChangePassword unterstützt wird. Beispielsweise enthält das MSDN-Thema zur NetUserChangePassword-Funktion folgende sinngemäße Beschreibung:
  
  domainname [in]
  

  Ein Zeiger auf eine Konstantenzeichenfolge, die den DNS oder NetBIOS-Namen eines Remoteservers oder einer Domäne angibt, für den bzw. die die Funktion ausgeführt werden soll. Wenn dieser Parameter den Wert NULL aufweist, wird die Anmeldedomäne des aufrufenden Benutzers verwendet. Diese Anweisung wurde jedoch durch MS16-101 ersetzt, außer die Kennwortzurücksetzung bezieht sich auf ein lokales Konto auf dem lokalen Computer. Nach MS16-101 müssen Sie, damit Kennwortänderungen für Domänenbenutzer funktionieren, einen gültigen DNS-Domänennamen an die NetUserChangePassword-API übergeben.

• Bekanntes Problem 6
  
  Nachdem Sie dieses Update installiert haben, treten möglicherweise 0xC0000022-NTLM-Authentfizierungsfehler auf. Informationen zum Beheben dieses Problems finden Sie unter NTLM-Authentifizierung schlägt nach der Installation des Updates für Windows Server 2012, Windows 8.1 und Windows Server 2012 R2 mit einem 0xC0000022-Fehler fehl.

• Bekanntes Problem 7
  
  Nach der Installation der in MS16-101 beschriebenen Sicherheitsupdates schlagen programmgesteuerte Remoteänderungen des Kennworts eines lokalen Benutzerkontos sowie Kennwortänderungen für eine nicht vertrauenswürdige Gesamtstruktur fehl.
  
  
  Dieser Vorgang schlägt fehl, da er auf NTLM-Fallback basiert. Diese Funktion wird jedoch für nicht lokale Konten nach der Installation von MS16-101 nicht mehr unterstützt.
  
  
  Diese Änderung können Sie mithilfe eines Registrierungseintrags deaktivieren.
  
  Warnung Durch diese Problemumgehung wird ein Computer oder Netzwerk möglicherweise anfälliger für Angriffe böswilliger Benutzer oder gefährlicher Software, wie etwa Viren. Diese Problemumgehung wird nicht von Microsoft empfohlen, wird jedoch hier aufgeführt, damit Sie diese Option nach eigenem Ermessen anwenden können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.
  
  Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

  322756Sichern und Wiederherstellen der Registrierung in Windows
  
  Zum Deaktivieren dieser Änderung legen Sie den DWORD-Eintrag NegoAllowNtlmPwdChangeFallback auf den Wert „1“ fest.
  
  
  Wichtig Durch Festlegen des Registrierungseintrags NegoAllowNtlmPwdChangeFallback auf den Wert „1“ wird dieser Sicherheitsfix deaktiviert:
  

  Registrierungswert	Beschreibung
  0	Standardwert. Fallback wird verhindert.
  1	Fallback ist stets zulässig. Der Sicherheitsfix ist deaktiviert. Kunden, die Probleme mit lokalen Remotekonten oder nicht vertrauenswürdigen Gesamtstrukturen haben, können für die Registrierung diesen Wert festlegen.

  Gehen Sie wie folgt vor, um diese Registrierungswerte hinzuzufügen:
  

  1. Klicken Sie auf Start und auf Ausführen. Geben Sie in das Feld Öffnen die Zeichenfolge regedit ein, und klicken Sie anschließend auf OK.

  2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.

  4. Geben Sie NegoAllowNtlmPwdChangeFallback als Namen für den DWORD-Wert ein, und drücken Sie anschließend die EINGABETASTE.

  5. Klicken Sie mit der rechten Maustaste auf NegoAllowNtlmPwdChangeFallback, und klicken Sie dann auf Ändern.

  6. Geben Sie in das Feld Wert den Wert 1 ein, um diese Änderung zu deaktivieren, und klicken Sie dann auf OK.
     
     
     Hinweis Um den Standardwert wiederherzustellen, geben Sie „0“ (null) ein, und klicken Sie anschließend auf OK.

  Status
  
  Die Ursache dieses Problems ist erforscht. Dieser Artikel wird mit zusätzlichen Details aktualisiert, sobald sie verfügbar sind.

Bezug und Installation des Updates

Methode 1: Windows Update

Dieses Update ist über Windows Update erhältlich. Wenn Sie die automatische Aktualisierung einschalten, wird das Update heruntergeladen und automatisch installiert. Weitere Informationen zur Aktivierung der automatischen Aktualisierung finden Sie unter Sicherheitsupdates automatisch laden.

Methode 2: Microsoft Update-Katalog

Um das eigenständige Paket für dieses Update zu erhalten, besuchen Sie die Microsoft Update-Katalog-Website.

Weitere Informationen

Dateiinformationen