Microsoft Security Bulletin MS05-051

Unter Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 ausgeführte Systeme sind für dieses Problem nicht anfällig.

Standardmäßig wird Microsoft Distributed Transaction Coordinator unter Windows Server 2003 gestartet, ist jedoch nicht für DTC-Netzwerkzugriff konfiguriert. Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen. Wenn ein Administrator jedoch die Unterstützung von DTC-Netzwerkzugriff aktiviert hat, könnte ein unter Windows Server 2003 ausgeführtes System für Remotecodeausführungs-Angriffe durch anonyme Benutzer anfällig sein. Informationen zur Konfiguration von DTC-Netzwerkzugriff finden Sie auf der folgenden Microsoft-Website.

Microsoft Distributed Transaction Coordinator wird unter Windows XP Service Pack 1 und Windows 2000 Professional standardmäßig nicht gestartet. Die Möglichkeit eines Remoteangriffs besteht nur, wenn dieser Dienst ausgeführt wird. Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen. Jedoch kann dieser Dienst von einem beliebigen lokalen Benutzer gestartet werden, sofern er nicht von einem Administrator deaktiviert wurde. Sobald dieser Dienst gestartet wird, könnten Systeme unter Windows XP Service Pack 1 für Remotecodeausführungs-Angriffe durch anonyme Benutzer anfällig werden. Dies liegt daran, dass Microsoft Distributed Transaction Coordinator unter Windows XP Service Pack 1 so konfiguriert ist, dass DTC-Netzwerkzugriff zugelassen wird. Informationen zur Konfiguration von DTC-Netzwerkzugriff finden Sie auf der folgenden Microsoft-Website.

Kunden, bei denen der Einsatz der betroffenen Komponente erforderlich ist, können Netzwerke mit Hilfe bewährter Firewallmethoden und standardisierter Firewallkonfigurationen vor Remoteangriffen schützen. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Deaktivieren von DTC (Distributed Transaction Coordinator)

Das Deaktivieren von Distributed Transaction Coordinator trägt zum Schutz vor Angriffen bei, mit denen diese Sicherheitsanfälligkeit ausgenutzt wird. Gehen Sie wie folgt vor, um DTC zu deaktivieren:

Sie können Distributed Transaction Coordinator auch deaktivieren, indem Sie den folgenden Befehl in die Befehlszeile eingeben:

sc stop MSDTC & sc config MSDTC start= disabled

Auswirkung der Problemumgehung: Wenn Sie Distributed Transaction Coordinator deaktivieren, können Sie keine Dienste oder Anwendungen verwenden, die von DTC abhängig sind. Dies könnte andere Anwendungen wie SQL Server, BizTalk Server, Exchange Server oder Message Queuing umfassen. Außerdem ist dieser Dienst in den meisten Clusterkonfigurationen erforderlich. Daher wird diese Problemumgehung nur für Systeme empfohlen, auf denen dieses Sicherheitsupdate nicht installiert werden kann.

Verwenden von Gruppenrichtlinien-Einstellungen zum Deaktivieren von Distributed Transaction Coordinator auf allen betroffenen Systemen, die diese Komponente nicht benötigen
Da Distributed Transaction Coordinator einen möglichen Angriffspunkt darstellt, sollten Sie es über die Einstellungen für Gruppenrichtlinien deaktivieren. Sie können den Start dieses Dienstes mit der Gruppenrichtlinienobjekt-Funktion in Windows 2000- oder Server 2003-Domänenumgebungen wahlweise auf lokaler, Site-, Domänen- oder Organisationseinheitsebene deaktivieren. Weitere Informationen zum Deaktivieren dieses Dienstes durch Anmeldeskripts finden Sie im Microsoft Knowledge Base-Artikel 297789

Hinweis: Sie können auch das Handbuch Windows 2000 Security Hardening Guide zurate ziehen. Dieses Handbuch enthält Informationen zum Deaktivieren von Diensten.

Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

Auswirkung der Problemumgehung: Wenn Sie Distributed Transaction Coordinator deaktivieren, können Sie keine Dienste oder Anwendungen verwenden, die von DTC abhängig sind. Dies könnte andere Anwendungen wie SQL Server, BizTalk Server, Exchange Server oder Message Queuing umfassen. Außerdem ist dieser Dienst in den meisten Clusterkonfigurationen erforderlich. Daher wird diese Problemumgehung nur für Systeme empfohlen, auf denen dieses Sicherheitsupdate nicht installiert werden kann.

Deaktivieren von DTC-Netzwerkzugriff

Wenn Sie das Sicherheitsupdate nicht installieren und Distributed Transaction Coordinator nicht deaktivieren können, sollten Sie eventuell DTC-Netzwerkzugriff deaktivieren. Diese Option ist nur unter Windows XP und späteren Betriebssystemversionen verfügbar. Diese Methode ermöglicht, dass lokale Transaktionen weiterhin durchgeführt werden können, trägt jedoch zum Schutz vor netzwerkbasierten Angriffen bei, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Informationen zur Konfiguration von DTC-Netzwerkzugriff finden Sie auf der folgenden Microsoft-Website. Gehen Sie wie folgt vor, um DTC-Netzwerkzugriff zu deaktivieren:

Warnung: Bei Durchführung dieses Verfahrens wird der betroffene Dienst gestartet, falls er zuvor noch nicht ausgeführt wurde. Stoppen Sie den MSDTC-Dienst auf der Registerkarte „MSDTC“, bevor Sie die Konfigurationsdialogfelder schließen.

HKLM\Software\Microsoft\MSDTC\Security\NetworkDtcAccess

Auswirkung der Problemumgehung: Wenn Sie DTC-Netzwerkzugriff deaktivieren, kann es sein, dass verteilte Transaktionen fehlschlagen. Dies könnte sich auf andere Anwendungen wie SQL Server, BizTalk Server oder Message Queuing auswirken. Daher wird diese Problemumgehung nur für Systeme empfohlen, auf denen dieses Sicherheitsupdate nicht installiert werden kann.

Blockieren Sie Folgendes an der Firewall:

Diese Ports können zum Initiieren einer Verbindung mit MSDTC verwendet werden. Das Blockieren dieser Ports an der Firewall schützt Systeme hinter dieser Firewall vor Angriffen, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Sie sollten außerdem sicherstellen, dass auch alle weiteren speziell konfigurierten RPC-Ports auf dem Remotesystem blockiert sind. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Während RPC die UDP-Ports 135, 137, 138, 445 und die TCP-Ports 135, 139, 445 und 593 verwenden kann, ist der MSDTC-Dienst über diese Ports nicht anfällig.

Hinweis: Andere Protokolle wie Sequenced Packet Exchange (SPX) oder NetBEUI könnten zur Kommunikation mit dem MSDTC-Dienst verwendet werden. Falls Sie diese Protokolle verwenden, sollten Sie die entsprechenden Ports für diese Protokolle blockieren. Weitere Informationen über IPX und SPX finden Sie auf der Microsoft-Website.

Verwenden Sie zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, eine persönliche Firewall, beispielsweise die Internetverbindungsfirewall, die im Lieferumfang von Windows XP und Windows Server 2003 enthalten ist.

Die Internetverbindungsfirewall unter Windows XP und Windows Server 2003 schützt standardmäßig Ihre Internetverbindung, indem sie unerwünscht eingehenden Datenverkehr blockiert. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet.

Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall mit dem Netzwerkinstallations-Assistenten zu aktivieren:

Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall manuell für eine Verbindung zu konfigurieren:

Hinweis: Wenn Sie die Kommunikation einiger Programme und Dienste über die Firewall aktivieren möchten, klicken Sie auf der Registerkarte Erweitert auf Einstellungen, und wählen Sie dann die notwendigen Programme, Protokolle und Dienste aus.

Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie erweiterte TCP/IP-Filter auf Systemen aktivieren, die diese Funktion unterstützen.

Sie können erweiterte TCP/IP-Filter aktivieren, um den gesamten unerwünschten eingehenden Datenverkehr zu blockieren. Weitere Informationen zur Konfiguration von TCP/IP-Filtern finden Sie im Microsoft Knowledge Base-Artikel 309798.

Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie die betroffenen Ports mit IPSec auf den betroffenen Systemen blockieren.

Mit Hilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen zu IPSec und dem Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190 und im Microsoft Knowledge Base-Artikel 813878. RPC verwendet ein breites Spektrum von Ports. Deshalb ist es schwierig, diese alle durch IPSec abzusichern. Im Microsoft Knowledge Base-Artikel 908472 wird beschrieben, wie Sie RPC-Kommunikation auf bestimmte fixe Ports beschränken können und wie diese Ports durch IPSec gesichert werden.

Reduziert die Kosten des Computereinsatzes in Unternehmen.
DTC bietet eine hochentwickelte, kostengünstige Einrichtung für verteilte Transaktionen für Benutzer in vernetzten PC- und Serverumgebungen.

Vereinfacht die Anwendungsentwicklung.
DTC-Transaktionen erleichtern in hohem Maße die Aufgabe von Anwendungen, trotz der Fehler, die bei der Aktualisierung von Anwendungsdaten entstehen können, die Konsistenz zu erhalten.

Stellt ein einheitliches Transaktionsmodell bereit.
DTC unterstützt eine Reihe von Ressourcenmanagern, einschließlich relationale Datenbanken, objektorientierte Datenbanken, Dateisysteme, Dokumentspeichersysteme und Nachrichtenwarteschlangen.

Ermöglicht die Softwareentwicklung mithilfe verteilter Softwarekomponenten.
DTC bietet eine einfache, objektorientierte Anwendungsprogrammierschnittstelle zum Initiieren und Steuern von Transaktionen.

Für Heimanwender

Für IT-Profis und Entwickler

Unter Windows XP Service Pack 2, Windows Server 2003 und Windows Server 2003 Service Pack 1 benötigt ein Angreifer gültige Anmeldeinformationen, um sich lokal anmelden und diese Sicherheitsanfälligkeit ausnutzen zu können. Diese Sicherheitsanfälligkeit kann nur dann von einem Remotestandort aus ausgenutzt werden, wenn der Angreifer bereits über administrative Berechtigungen verfügt.

Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Deaktivieren von COM+
Das Deaktivieren von COM+ trägt zum Schutz vor Angriffen bei, bei denen diese Sicherheitsanfälligkeit ausgenutzt wird. Abhängig von der von Ihnen verwendeten Plattform gibt es verschiedene Methoden, um COM+ zu deaktivieren.

Wichtig: In diesem Bulletin sind Informationen zum Ändern der Registrierung enthalten. Vor dem Ändern müssen Sie jedoch eine Sicherung der Registrierung erstellen. Vergewissern Sie sich, dass Sie die Registrierung im Falle eines Problems wiederherstellen können. Weitere Informationen zum Sichern, Wiederherstellen und Ändern der Registrierung finden Sie im Microsoft Knowledge Base-Artikel 256986.

Warnung: Eine inkorrekte Änderung der Registrierung mithilfe des Registrierungs-Editors oder einer anderen Methode kann zu ernsthaften Problemen führen. Diese Probleme können u. U. eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft übernimmt keine Garantie dafür, dass diese Probleme gelöst werden können. Sie ändern die Registrierung auf eigene Gefahr.

echo “Workaround for KB902400” >%windir%\system32\~clbcatq.dll

HKEY_LOCAL_MACHINE\Software\Microsoft\COM3

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3]
"Com+Enabled"=dword:00000000

Auswirkung der Problemumgehung: Wenn Sie COM+ deaktivieren, können Sie keine Anwendungen verwenden, die von COM+ abhängig sind. Vor Anwenden dieser Problemumgehungen sollte beurteilt werden, ob geschäftskritische Anwendungen von COM+ abhängen. Diese Problemumgehung wird nur für Systeme empfohlen, auf denen das Sicherheitsupdate nicht installiert werden kann. Weitere Informationen zu COM+ finden Sie auf dieser Microsoft-Website.

Blockieren Sie Folgendes an der Firewall:

Diese Ports dienen dazu, eine Verbindung mit RPC zu initiieren. Das Blockieren dieser Ports an der Firewall schützt Systeme hinter dieser Firewall vor Angriffen, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Sie sollten außerdem sicherstellen, dass auch alle weiteren speziell konfigurierten RPC-Ports auf dem Remotesystem blockiert sind. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Weitere Informationen zu von RPC verwendeten Ports finden Sie auf dieser Website. Weitere Informationen zum Deaktivieren von CIS finden Sie im Microsoft Knowledge Base-Artikel 825819.

Hinweis: Andere Protokolle wie Sequenced Packet Exchange (SPX) oder NetBEUI könnten zur Kommunikation mit dem MSDTC-Dienst verwendet werden. Falls Sie diese Protokolle verwenden, sollten Sie die entsprechenden Ports für diese Protokolle blockieren. Weitere Informationen über IPX und SPX finden Sie auf der Microsoft-Website.

Deaktivieren von DCOM
Das Deaktivieren von DCOM trägt zum Schutz vor Angriffen bei, bei denen diese Sicherheitsanfälligkeit ausgenutzt wird. Das betroffene System könnte jedoch dennoch für Angriffe anfällig sein, die versuchen , diese Sicherheitsanfälligkeit auszunutzen, um eine lokale Erhöhung von Berechtigungen zu bewirken. Anweisungen zum Deaktivieren von DCOM finden Sie im Microsoft Knowledge Base-Artikel 825750.

Als Alternative zu den im Microsoft Knowledge Base-Artikel 825750 beschriebenen Schritten können Sie auch den folgenden Text in eine .reg-Datei einfügen. Doppelklicken Sie anschließend auf die .reg-Datei, während Sie lokal als Administrator angemeldet sind:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"

Hinweis: Sie können diese Einstellungen auch mithilfe von Gruppenrichtlinien mehreren Systemen zuweisen. Weitere Informationen zu Gruppenrichtlinien finden Sie auf der folgenden Microsoft-Website.

Auswirkung der Problemumgehung: Wenn Sie DCOM deaktivieren, können Sie keine von DCOM abhängigen Anwendungen verwenden. Vor Anwenden dieser Problemumgehungen sollte beurteilt werden, ob geschäftskritische Anwendungen von DCOM abhängen. Bei Deaktivieren von DCOM sind potenziell zahlreiche integrierte Komponenten und Anwendungen von Drittherstellern betroffen. Bevor Sie DCOM in Ihrer Umgebung deaktivieren, empfehlen wir dringend, dass Sie testen, welche Anwendungen davon betroffen sein werden. DCOM kann möglicherweise nicht in allen Umgebungen deaktiviert werden. Daher wird diese Problemumgehung nur für Systeme empfohlen, auf denen dieses Sicherheitsupdate nicht installiert werden kann. Informationen zum Deaktivieren von DCOM finden Sie im Microsoft Knowledge Base-Artikel 825750.

Für Heimanwender

Für IT-Profis und Entwickler

Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Denial-of-Service-Angriff. Dieses Problem ermöglicht einem Angreifer zwar keine Codeausführung oder Erhöhung von Berechtigungen, könnte aber bewirken, dass der betroffene Dienst keine Anforderungen mehr annimmt.

Unter Windows XP Service Pack 1, Windows XP Service Pack 2, Windows Server 2003 und Windows Server 2003 Service Pack 1 ist das TIP-Protokoll nicht aktiviert, selbst wenn Microsoft Distributed Transaction Coordinator gestartet wird. Ein Administrator muss das TIP-Protokoll manuell für Distributed Transaction Coordinator aktivieren, um für dieses Problem anfällig zu werden.

Wenn Microsoft Distributed Transaction Coordinator aufgrund eines Angriffs nicht mehr reagiert, funktionieren Dienste, die nicht von MSDTC abhängen, auch weiterhin normal.

Kunden, bei denen der Einsatz der betroffenen Komponente erforderlich ist, können Netzwerke mit Hilfe bewährter Firewallmethoden und standardisierter Firewallkonfigurationen vor Remoteangriffen schützen. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Deaktivieren von DTC (Distributed Transaction Coordinator)

Das Deaktivieren von Distributed Transaction Coordinator trägt zum Schutz vor Angriffen bei, mit denen diese Sicherheitsanfälligkeit ausgenutzt wird. Gehen Sie wie folgt vor, um DTC zu deaktivieren:

Sie können Distributed Transaction Coordinator auch deaktivieren, indem Sie den folgenden Befehl in die Befehlszeile eingeben:

sc stop MSDTC & sc config MSDTC start= disabled

Auswirkung der Problemumgehung: Wenn Sie Distributed Transaction Coordinator deaktivieren, können Sie keine Dienste oder Anwendungen verwenden, die von DTC abhängig sind. Dies könnte andere Anwendungen wie SQL Server, BizTalk Server, Exchange Server oder Message Queuing umfassen. Außerdem ist dieser Dienst in den meisten Clusterkonfigurationen erforderlich. Daher wird diese Problemumgehung nur für Systeme empfohlen, auf denen dieses Sicherheitsupdate nicht installiert werden kann.

Verwenden von Gruppenrichtlinien-Einstellungen zum Deaktivieren von Distributed Transaction Coordinator auf allen betroffenen Systemen, die diese Komponente nicht benötigen
Da Distributed Transaction Coordinator einen möglichen Angriffspunkt darstellt, sollten Sie es über die Einstellungen für Gruppenrichtlinien deaktivieren. Sie können den Start dieses Dienstes mit der Gruppenrichtlinienobjekt-Funktion in Windows 2000- oder Server 2003-Domänenumgebungen wahlweise auf lokaler, Site-, Domänen- oder Organisationseinheitsebene deaktivieren. Weitere Informationen zum Deaktivieren dieses Dienstes durch Anmeldeskripts finden Sie im Microsoft Knowledge Base-Artikel 297789

Hinweis: Sie können auch das Handbuch Windows 2000 Security Hardening Guide zurate ziehen. Dieses Handbuch enthält Informationen zum Deaktivieren von Diensten.

Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

Auswirkung der Problemumgehung: Wenn Sie Distributed Transaction Coordinator deaktivieren, können Sie keine Dienste oder Anwendungen verwenden, die von DTC abhängig sind. Dies könnte andere Anwendungen wie SQL Server, BizTalk Server, Exchange Server oder Message Queuing umfassen. Außerdem ist dieser Dienst in den meisten Clusterkonfigurationen erforderlich. Daher wird diese Problemumgehung nur für Systeme empfohlen, auf denen dieses Sicherheitsupdate nicht installiert werden kann.

Blockieren von TCP-Port 3372 an der Firewall:

Dieser Port wird zur Initiierung einer Verbindung mit TIP verwendet. Das Blockieren dieses Ports an der Firewall schützt Systeme hinter dieser Firewall vor Angriffen, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Sie sollten außerdem sicherstellen, dass alle weiteren speziell konfigurierten TIP-Ports auf dem Remotesystem blockiert sind. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden.

Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie erweiterte TCP/IP-Filter auf Systemen aktivieren, die diese Funktion unterstützen.

Sie können erweiterte TCP/IP-Filter aktivieren, um den gesamten unerwünschten eingehenden Datenverkehr zu blockieren. Weitere Informationen zur Konfiguration von TCP/IP-Filtern finden Sie im Microsoft Knowledge Base-Artikel 309798.

Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie die betroffenen Ports mit IPSec auf den betroffenen Systemen blockieren.

Mit Hilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen zu IPSec und dem Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190 und im Microsoft Knowledge Base-Artikel 813878.

Reduziert die Kosten des Computereinsatzes in Unternehmen.
DTC bietet eine hochentwickelte, kostengünstige Einrichtung für verteilte Transaktionen für Benutzer in vernetzten PC- und Serverumgebungen.

Vereinfacht die Anwendungsentwicklung.
DTC-Transaktionen erleichtern in hohem Maße die Aufgabe von Anwendungen, trotz der Fehler, die bei der Aktualisierung von Anwendungsdaten entstehen können, die Konsistenz zu erhalten.

Stellt ein einheitliches Transaktionsmodell bereit.
DTC unterstützt eine Reihe von Ressourcenmanagern, einschließlich relationale Datenbanken, objektorientierte Datenbanken, Dateisysteme, Dokumentspeichersysteme und Nachrichtenwarteschlangen.

Ermöglicht die Softwareentwicklung mithilfe verteilter Softwarekomponenten.
DTC bietet eine einfache, objektorientierte Anwendungsprogrammierschnittstelle zum Initiieren und Steuern von Transaktionen.

Für Heimanwender

Für IT-Profis und Entwickler

Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Denial-of-Service-Angriff. Dieses Problem ermöglicht einem Angreifer zwar keine Codeausführung oder Erhöhung von Berechtigungen, könnte aber bewirken, dass die betroffenen Dienste keine Anforderungen mehr annehmen.

Unter Windows XP Service Pack 1, Windows XP Service Pack 2, Windows Server 2003 und Windows Server 2003 Service Pack 1 ist das TIP-Protokoll nicht aktiviert, selbst wenn Microsoft Distributed Transaction Coordinator gestartet wird. Ein Administrator muss das TIP-Protokoll manuell für Distributed Transaction Coordinator aktivieren, um für dieses Problem anfällig zu werden.

Wenn Microsoft Distributed Transaction Coordinator aufgrund eines Angriffs nicht mehr reagiert, funktionieren Dienste, die nicht von MSDTC abhängen, auch weiterhin normal.

Kunden, bei denen der Einsatz der betroffenen Komponente erforderlich ist, können Netzwerke mit Hilfe bewährter Firewallmethoden und standardisierter Firewallkonfigurationen vor Remoteangriffen schützen. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Deaktivieren von DTC (Distributed Transaction Coordinator)

Das Deaktivieren von Distributed Transaction Coordinator trägt zum Schutz vor Angriffen bei, mit denen diese Sicherheitsanfälligkeit ausgenutzt wird. Gehen Sie wie folgt vor, um DTC zu deaktivieren:

Sie können Distributed Transaction Coordinator auch deaktivieren, indem Sie den folgenden Befehl in die Befehlszeile eingeben:

sc stop MSDTC & sc config MSDTC start= disabled

Auswirkung der Problemumgehung: Wenn Sie Distributed Transaction Coordinator deaktivieren, können Sie keine Dienste oder Anwendungen verwenden, die von DTC abhängig sind. Dies könnte andere Anwendungen wie SQL Server, BizTalk Server, Exchange Server oder Message Queuing umfassen. Außerdem ist dieser Dienst in den meisten Clusterkonfigurationen erforderlich. Daher wird diese Problemumgehung nur für Systeme empfohlen, auf denen dieses Sicherheitsupdate nicht installiert werden kann.

Verwenden von Gruppenrichtlinien-Einstellungen zum Deaktivieren von Distributed Transaction Coordinator auf allen betroffenen Systemen, die diese Komponente nicht benötigen
Da Distributed Transaction Coordinator einen möglichen Angriffspunkt darstellt, sollten Sie es über die Einstellungen für Gruppenrichtlinien deaktivieren. Sie können den Start dieses Dienstes mit der Gruppenrichtlinienobjekt-Funktion in Windows 2000- oder Server 2003-Domänenumgebungen wahlweise auf lokaler, Site-, Domänen- oder Organisationseinheitsebene deaktivieren. Weitere Informationen zum Deaktivieren dieses Dienstes durch Anmeldeskripts finden Sie im Microsoft Knowledge Base-Artikel 297789

Hinweis: Sie können auch das Handbuch Windows 2000 Security Hardening Guide zurate ziehen. Dieses Handbuch enthält Informationen zum Deaktivieren von Diensten.

Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

Auswirkung der Problemumgehung: Wenn Sie Distributed Transaction Coordinator deaktivieren, können Sie keine Dienste oder Anwendungen verwenden, die von DTC abhängig sind. Dies könnte andere Anwendungen wie SQL Server, BizTalk Server, Exchange Server oder Message Queuing umfassen. Außerdem ist dieser Dienst in den meisten Clusterkonfigurationen erforderlich. Daher wird diese Problemumgehung nur für Systeme empfohlen, auf denen dieses Sicherheitsupdate nicht installiert werden kann.

Blockieren von TCP-Port 3372 an der Firewall:

Dieser Port wird zur Initiierung einer Verbindung mit TIP verwendet. Das Blockieren dieses Ports an der Firewall schützt Systeme hinter dieser Firewall vor Angriffen, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Sie sollten außerdem sicherstellen, dass alle weiteren speziell konfigurierten TIP-Ports auf dem Remotesystem blockiert sind. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden.

Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie erweiterte TCP/IP-Filter auf Systemen aktivieren, die diese Funktion unterstützen.

Sie können erweiterte TCP/IP-Filter aktivieren, um den gesamten unerwünschten eingehenden Datenverkehr zu blockieren. Weitere Informationen zur Konfiguration von TCP/IP-Filtern finden Sie im Microsoft Knowledge Base-Artikel 309798.

Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie die betroffenen Ports mit IPSec auf den betroffenen Systemen blockieren.

Mit Hilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen zu IPSec und dem Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190 und im Microsoft Knowledge Base-Artikel 813878.

Reduziert die Kosten des Computereinsatzes in Unternehmen.
DTC bietet eine hochentwickelte, kostengünstige Einrichtung für verteilte Transaktionen für Benutzer in vernetzten PC- und Serverumgebungen.

Vereinfacht die Anwendungsentwicklung.
DTC-Transaktionen erleichtern in hohem Maße die Aufgabe von Anwendungen, trotz der Fehler, die bei der Aktualisierung von Anwendungsdaten entstehen können, die Konsistenz zu erhalten.

Stellt ein einheitliches Transaktionsmodell bereit.
DTC unterstützt eine Reihe von Ressourcenmanagern, einschließlich relationale Datenbanken, objektorientierte Datenbanken, Dateisysteme, Dokumentspeichersysteme und Nachrichtenwarteschlangen.

Ermöglicht die Softwareentwicklung mithilfe verteilter Softwarekomponenten.
DTC bietet eine einfache, objektorientierte Anwendungsprogrammierschnittstelle zum Initiieren und Steuern von Transaktionen.

Für Heimanwender

Für IT-Profis und Entwickler