Microsoft Security Bulletin MS06-011

Uneingeschränkte Windows Services DACLs könnten eine Erhöhung von Berechtigungen ermöglichen (914798)

Veröffentlicht: 14. Mrz 2006 | Aktualisiert: 14. Jun 2006

Version: 2.1

Zusammenfassung

Zielgruppe dieses Dokuments: Benutzer von Microsoft Windows

Auswirkung der Sicherheitsanfälligkeit: Erhöhung der Berechtigungen

Bewertung des maximalen Schweregrads: Hoch

Empfehlung: Benutzer sollten das Sicherheitsupdate so schnell wie möglich installieren.

Ersetzung von Sicherheitsupdates: Keine.

Vorsichtsmaßnahmen: Im Microsoft Knowledge Base-Artikel 914798 werden die derzeit bekannten Probleme bei der Installation dieses Sicherheitsupdates beschrieben. Im Artikel werden auch Lösungen für diese Probleme empfohlen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 914798.

Getestete Software und Downloadpfade für das Update:

Betroffene Software:

•	Microsoft Windows XP Service Pack 1 – Update herunterladen
•	Microsoft Windows Server 2003 – Update herunterladen
•	Microsoft Windows Server 2003 für Itanium-basierte Systeme – Update herunterladen

Top of section

•

Nicht betroffene Software:

•	Microsoft Windows 2000 Service Pack 4
•	Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (ME)
•	Microsoft Windows XP Service Pack 2
•	Microsoft Windows XP Professional x64 Edition
•	Microsoft Windows Server 2003 Service Pack 1
•	Microsoft Windows Server 2003 mit Service Pack 1 für Itanium-basierte Systeme
•	Microsoft Windows Server 2003 x64 Edition

Allgemeine Informationen

Kurzzusammenfassung

Kurzzusammenfassung:

Dieses Update behebt eine neu entdeckte, öffentlich bekannte Sicherheitsanfälligkeit. Die Sicherheitsanfälligkeit wird im Abschnitt „Einzelheiten zu dieser Sicherheitsanfälligkeit“ dieses Bulletins dokumentiert.

Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wir empfehlen Benutzern, dieses Sicherheitsupdate so schnell wie möglich zu installieren.

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit:

Kennungen der Sicherheitsanfälligkeit	Auswirkung der Sicherheitsanfälligkeit	Windows 98, 98 SE, ME	Windows 2000	Windows XP Service Pack 1	Windows XP Service Pack 2	Windows Server 2003	Windows Server 2003 Service Pack 1
Uneingeschränkte Windows Services DACLs – CAN-2006-0023	Erhöhung der Berechtigungen	Keine	Keine	Hoch	Keine	Mittel	Keine

Die Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Ausnutzen der Sicherheitsanfälligkeit auf sie hat.

Hinweis: Die Schweregrade für die nicht auf x86 basierenden Betriebssysteme werden den auf x86 basierenden Betriebssystemen wie folgt zugeordnet:

•	Der Schweregrad für Microsoft Windows XP Professional x64 Edition ist der gleiche wie der für Windows XP Service Pack 2.
•	Der Schweregrad für Microsoft Windows Server 2003 für Itanium-basierte Systeme ist der gleiche wie der für Windows Server 2003.
•	Der Schweregrad für Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme ist der gleiche wie der für Windows Server 2003 Service Pack 1.
•	Der Schweregrad für Microsoft Windows Server 2003 x64 Edition ist der gleiche wie der für Windows Server 2003 Service Pack 1.

Top of section

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Warum hat Microsoft dieses Bulletin am 13. Juni 2006 aktualisiert?
Microsoft hat dieses Bulletin und die zugehörigen Sicherheitsupdates aktualisiert, um aktualisierte Registrierungsschlüsselwerte für NetBT, RemoteAccess und TCPIP-Dienste darin aufzunehmen. Diese Werte wurden geändert, um sie denen in Windows XP Service Pack 2 auf Windows XP Service Pack 1 System anzupassen. Benutzern, die Windows XP Service Pack installiert haben, wird empfohlen, dieses überarbeitete Update zu installieren, um zusätzlichen Schutz vor der Erhöhung von Berechtigungen durch diese Dienste zu erhalten, wie im Abschnitt „Einzelheiten zu dieser Sicherheitsanfälligkeit“ dieses Security Bulletins beschrieben wird. Windows 2003-Systeme die kein Service Pack installiert haben sind von dieser Aktualisierung nicht betroffen. Weitere Information und die aktualisierten Registrierungsschlüsselwerte finden Sie im Microsoft Knowledge Base-Artikel 914798.

Welche Änderungen umfasst das überarbeitete Sicherheitsupdate?
Das überarbeitete Sicherheitsupdate enthält keine Änderungen an den Binärdateien, die im ursprünglichen Sicherheitsupdate enthalten waren. Während der Installation aktualisiert das überarbeitete Sicherheitsupdate die Registrierungswerte für NetBT, RemoteAccess und TCPIP-Dienste gemäß der Beschreibung im Microsoft Knowledge Base-Artikel 914798.

Welches sind die bekannten Probleme, die bei der Installation dieses Sicherheitsupdates auftreten können?
Im Microsoft Knowledge Base-Artikel 914798 werden die derzeit bekannten Probleme bei der Installation dieses Sicherheitsupdates beschrieben. Im Artikel werden auch Lösungen für diese Probleme empfohlen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 914798.

Warum wurden nach Installation dieses Updates keine aktualisierten Dateien verwendet?
Für Systeme unter Windows XP Service Pack 1 wird die Discrectionary Access Control List (DACL) bei diesem Update an die Einstellungen von Windows XP Service Pack 2 angepasst. Für Windows 2003 ohne installiertes Service Pack werden die ausgewählten Dienst-DACLs bei diesem Update an die Einstellungen von Windows 2003 Service Pack 1 angepasst. Diese Konfigurationsänderungen werden vom Installationsprogramm durchgeführt. Bei der Installation dieses Sicherheitsupdates werden keine Systemdateien aktualisiert.

Kann ich das Update entfernen?
Da durch die Installation dieses Updates keine Systemdateien geändert werden, kann das Update nicht entfernt werden. Für Systeme unter Windows 2003 ohne installiertes Service Pack und Systeme unter Windows XP SP1 werden die DACLs für den ausgewählten Dienst bei diesem Update auf die Einstellungen von Windows 2003 SP1 und Windows XP SP2 gesetzt. Diese Konfigurationsänderungen werden vom Installationsprogramm durchgeführt. Bei der Installation dieses Sicherheitsupdates werden keine Systemdateien aktualisiert. Mit den Dienstprogrammen des Systems können die Änderungen jedoch rückgängig gemacht werden. Weitere Informationen zum Entfernen und Wiederherstellen der DACL-Konfigurationsänderungen, die von diesem Update vorgenommen wurden, finden Sie im Microsoft Knowledge Base-Artikel 914798.

Enthält dieses Update sicherheitsbezogene Funktionsänderungen?
Ja. Neben den im Abschnitt „Einzelheiten zu dieser Sicherheitsanfälligkeit“ des Bulletins angeführten Diensten verändert dieses Update auch die DACLs für den Dienst und die in der Tabelle aufgeführten Dienstregistrierungsschlüssel, um zusätzlichen tief greifenden Schutz zu gewährleisten. Diese zusätzlichen Dienste und Dienstregistrierungsschlüssel setzen die DACLs für die unten aufgeführten Dienste unter Windows XP Service Pack 1 auf die von Windows XP Service Pack 2 und unter Windows 2003 ohne installiertes Service Pack auf jene von Windows 2003 Service Pack 1. Weitere Informationen zu diesen und anderen in diesem Update enthaltenen Änderungen an Diensten und DACLs von Registrierungsschlüsseln finden Sie im Microsoft Knowledge Base-Artikel 914798.

Zusätzliche in diesem Update enthaltene Dienst- und Registrierungsschlüsseländerungen

Betriebssystem	Dienst	Registrierungsschlüssel
Microsoft Windows XP Service Pack 1	MSDTC
		DHCP
		NetBT
		Remotezugriff
		TCPIP
Windows Server 2003	MSDTC
	SysmonLog
		DHCP
		DnsCache
		NetBT
		Remotezugriff
		TCPIP

Sind Windows 98, Windows 98 Second Edition oder Windows Millennium Edition auf kritische Weise von einer oder mehreren der in diesem Security Bulletin behandelten Sicherheitsanfälligkeiten betroffen?
Nein. Die in der Kurzzusammenfassung aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) 1.2.1 überprüfen, ob dieses Update erforderlich ist?
Ja. MBSA 1.2.1 kann feststellen, ob dieses Update erforderlich ist. Weitere Informationen zu MBSA finden Sie auf der MBSA-Website. Da dieses Update nicht deinstalliert werden kann, wenn die betroffenen DACLs geändert oder wiederhergestellt wurden, müssen Benutzer die Registrierung für MBSA bearbeiten, um herauszufinden, ob das Update erneut erforderlich ist. Informationen über die Änderung der Registrierung für MBSA 1.2.1 im Hinblick auf das manuelle Entfernen des Updates finden Sie im Microsoft Knowledge Base-Artikel 914798.

Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) 2.0 überprüfen, ob dieses Update erforderlich ist?
Ja. MBSA 2.0 kann feststellen, ob dieses Update erforderlich ist. MBSA 2.0 erkennt erforderliche Sicherheitsupdates für von Microsoft Update unterstützte Produkte. Weitere Informationen zu MBSA finden Sie auf der MBSA-Website. Da dieses Update nicht deinstalliert werden kann, wenn die betroffenen DACLs geändert oder wiederhergestellt wurden, müssen Benutzer die Registrierung für MBSA bearbeiten, um herauszufinden, ob das Update erneut erforderlich ist. Informationen über die Änderung der Registrierung für MBSA 2.0 im Hinblick auf das manuelle Entfernen des Updates finden Sie im Microsoft Knowledge Base-Artikel 914798.

Kann ich mit Systems Management Server (SMS) überprüfen, ob dieses Update erforderlich ist?
Ja. SMS kann Sie bei der Erkennung und Bereitstellung dieses Sicherheitsupdates unterstützen. Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Das Sicherheitsupdate-Inventurprogramm kann von SMS zum Auffinden von unter Windows Update angebotenen Sicherheitsupdates, die von den Software Update Services unterstützt werden, und anderen von MBSA 1.2.1 unterstützten Sicherheitsupdates verwendet werden. Weitere Informationen über das Sicherheitsupdate-Inventurprogramm finden Sie auf der folgenden Microsoft-Website. Weitere Informationen zu den Einschränkungen des Sicherheitsupdate-Inventurprogramms finden Sie im Microsoft Knowledge Base-Artikel 306460.

Das SMS 2003-Inventurprogramm für Microsoft-Updates kann von SMS zum Auffinden von unter Microsoft Update erhältlichen Sicherheitsupdates und Updates, die von Windows Server Update Services unterstützt werden, verwendet werden. Weitere Informationen über das SMS 2003-Inventurprogramm für Microsoft Updates finden Sie auf der folgenden Microsoft-Website.

Top of section

Einzelheiten zu dieser Sicherheitsanfälligkeit

Uneingeschränkte Windows Services DACLs könnten eine Erhöhung von Berechtigungen ermöglichen – CAN-2006-0023

In Windows XP Service Pack 1 liegt in den genannten Windows-Diensten eine Sicherheitsanfälligkeit des Typs Erhöhung von Berechtigungen vor. Dabei sind die Berechtigungen standardmäßig auf eine Stufe eingestellt, durch die ein Benutzer mit geringen Berechtigungen mit dem Dienst verbundene Eigenschaften ändern könnte. Unter Windows Server 2003 sind die Berechtigungen auf den jeweiligen Diensten auf eine Stufe eingestellt, die es einem Benutzer der Gruppe der Netzwerkkonfigurations-Operatoren ermöglichen könnte, mit dem Dienst verbundene Eigenschaften zu ändern. Nur Mitglieder der Gruppe der Netzwerkkonfigurations-Operatoren auf dem Zielcomputer können Windows Server 2003 von einem remoten Standort aus angreifen. Diese Gruppe enthält standardmäßig keine Benutzer. Durch die Sicherheitsanfälligkeit könnte ein Benutzer mit gültigen Anmeldeinformationen unter Microsoft Windows XP Service Pack 1 vollständige Kontrolle über das System erlangen.

Schadensbegrenzende Faktoren für den Abschnitt „Uneingeschränkte Windows Services DACLs könnten eine Erhöhung von Berechtigungen ermöglichen – CAN-2006-0023“

•

Ein Angreifer benötigt gültige Anmeldeinformationen, um diese Sicherheitsanfälligkeit ausnutzen zu können. Die Sicherheitsanfälligkeit kann nicht von anonymen Benutzern ausgenutzt werden.

•

Bei vier der sechs genannten Dienste (NetBT, SCardSvr, DHCP, DnsCache) müsste ein Angreifer bereits in einem priviligierten Sicherheitskontext ausgeführt werden. Darüber hinaus besteht die Sicherheitsanfälligkeit bei zwei Diensten nur unter Windows XP Service Pack 1. Es handelt sich dabei um SSDPSRV und UPNPHost, die einem authentifizierten Benutzer den Angriff eines gefährdeten Systems ermöglichen.

Top of section

Problemumgehungen für die Sicherheitsanfälligkeit unter „Uneingeschränkte Windows Services DACLs können eine Erhöhung von Berechtigungen ermöglichen – CAN-2006-0023“:

Microsoft hat die folgenden Problemumgehungen getestet. Durch die genannten Problemumgehungen werden die standardmäßigen DACLs unter Windows XP Service Pack 1 und Windows Server in die unter Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 verwendeten DACLs mit erhöhter Sicherheit umgeändert. Sie gelten somit als vollständige Lösungen für dieses Problem. Da die empfohlenen Zugriffskontrollen nun schon seit einiger Zeit in den neuesten Betriebssystemen enthalten sind, werden sie als geringe Sicherheitsgefährdung eingestuft. Jede DACL-Änderung bringt jedoch ein gewisses Risiko der Inkompatibilität von Anwendungen einher.

•

Verwenden des Befehls „sc.exe“ zum Modifizieren der Zugriffssteuerung für die genannten Dienste:

Hinweis: Zur Ausführung des Befehls sc.exe müssen Sie über die entsprechenden Berechtigungen verfügen. Dieser Befehl kann mit Hilfe eines Computerstartskripts oder eines SMS-Skripts ausgeführt werden. Durch Ausführen des Befehls wird die Sicherheit der DACLs auf die Sicherheitsstufe von Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 erhöht. Weitere Informationen über den Befehl sc.exe und die Vorgehensweise zum Einstellen von DACLs für Windows-Dienste finden Sie in der folgenden Microsoft-Produktdokumentation. Bei dieser Problemumgehung ist kein Neustart des Computers erforderlich.

Führen Sie bei Windows XP Service Pack 1 die folgenden Befehle aus. Jeder Befehl ändert die DACL für den zugehörigen betroffenen Dienst.

sc sdset ssdpsrv D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPLORC;;;AU)(A;;RPWPDTRC;;;LS)

sc sdset netbt D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCLCSWRPLOCRRC;;;NO)

sc sdset upnphost
D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWLOCRRC;;;LS)

sc sdset scardsvr D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCLCSWRPWPDTLOCRRC;;;LS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPLOCRRC;;;S-1-2-0)

sc sdset dhcp D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)

sc sdset dnscache D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)

Führen Sie für Windows Server 2003 die folgenden Befehle aus: Jeder Befehl ändert die DACL für den zugehörigen betroffenen Dienst.

sc sdset dhcp D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

sc sdset dnscache D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

Hinweis: Unter Windows Server 2003 sind NetBt, DnsCache und DHCP die einzigen identifizierten betroffenen Dienste. Im Szenario für Windows 2003 muss ein Angriff durch ein Mitglied der Gruppe der Netzwerkkonfigurations-Operatoren gestartet werden. Diese Gruppe ist standardmäßig leer.

Auswirkung der Problemumgehung: Keine

•

Verwenden von Gruppenrichtlinien zum Bereitstellen einer modifizierten Zugriffssteuerung für die genannten Dienste.

Domänenadministratoren können mithilfe von Gruppenrichtlinien und Sicherheitsvorlagen modifizierte Zugriffskontrollen auf Systemen unter Windows XP Service Pack 1 bereitstellen. Weitere Informationen darüber, wie Sicherheitsvorlagen mithilfe der Gruppenrichtlinienfunktion implementiert werden, finden Sie im Microsoft Knowledge Base-Artikel 816585. Für diese Problemumgehung ist kein Neustart des Computers erforderlich.

Verwenden Sie für Windows XP Service Pack 1 folgende Sicherheitsvorlage, um die Dienste Upnphost, SCardSvr, SSDPSRV, DnsCache und DHCP zu ändern.

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Service General Setting]
SSDPSRV,2,"D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-32-549)(A;;CCLCSWRPLORC;;;AU)(A;;RPWPDTRC;;;S-1-5-19)"
upnphost,2,"D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-32-549)(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWLOCRRC;;;S-1-5-19)"
scardsvr,2,"D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCLCSWRPWPDTLOCRRC;;;S-1-5-19)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-32-549)(A;;CCLCSWRPLOCRRC;;;S-1-2-0)"
dhcp,2,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
dnscache,2,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Verwenden Sie für Windows Server 2003 folgende Sicherheitsvorlage, um die Dienste DnsCache und DHCP zu ändern.

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Service General Setting]
dhcp,,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
dnscache,,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Hinweis: Unter Windows XP Service Pack 1 und Windows Server 2003 können die DACLs für den NetBT-Dienst nicht mit dem Gruppenrichtlinienobjekt-Editor von Microsoft geändert werden. Deshalb ist die DACL-Änderung des NetBT-Dienstes nicht in der Sicherheitsvorlage für Windows Server 2003 enthalten.

Hinweis: Unter Windows Server 2003 sind NetBT, DHCP und DnsCache die einzigen identifizierten betroffenen Dienste. Im Szenario für Windows Server 2003 muss ein Angriff durch ein Mitglied der Gruppe der Netzwerkkonfigurations-Operatoren gestartet werden. Diese Gruppe ist standardmäßig nicht besetzt und ihr werden selten Mitglieder hinzugefügt.

Auswirkung der Problemumgehung: Neben der Anpassung der Dienst-DACLs an die von Windows XP Service Pack 2 wird der Starttyp für den betroffenen Dienst in der bereitgestellten Sicherheitsvorlage auf seine ursprüngliche Standardkonfiguration „Automatisch“ zurückgesetzt. Da Windows Server 2003 die Konfiguration der Starttypeinstellungen unterstützt, bleibt der Starttyp für Windows Server 2003 unverändert.

•

Modifizieren der Windows-Registrierung zum Ändern der Zugriffssteuerung für die jeweiligen genannten Dienste.

Die bevorzugte Methode zum Modifizieren von Diensten ist die Verwendung des Befehls sc.exe. Sie können jedoch auch den folgenden Befehl verwenden, um die Sicherheits-DACLs der betroffenen Dienste an die Stufe von Windows XP Service Pack 2 anzupassen. Benutzer sollten eine Sicherungskopie der Registrierung erstellen, bevor sie daran Änderungen vornehmen. Weitere Informationen zu Registrierungsskripts und zur Vorgehensweise für die Änderung der Windows-Registrierung finden Sie im Microsoft Knowledge Base-Artikel 214752.

Modifizieren Sie unter Windows XP Service Pack 1 die folgenden Registrierungsschlüssel, um die betroffenen Standarddienste von Windows XP Service Pack 1 zu ändern.

Für den SSDPSRV-Dienst:

reg add HKLM\System\CurrentControlSet\Services\SSDPSRV\Security /v Security /t REG_BINARY /d _
01001480bc000000c8000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
00002008c000600000000001400ff010f0001010000000000051200000000001800ff010f00010200000000000520_
0000002002000000001800fd0102000102000000000005200000002302000000001800ff010f00010200000000000_
52000000025020000000014009d00020001010000000000050b000000000014007000020001010000000000051300_
0000010100000000000512000000010100000000000512000000

Für den NetBT-Dienst:

reg add HKLM\System\CurrentControlSet\Services\netbt\Security /v Security /t REG_BINARY /d _
01001480e8000000f4000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
0000200b80008000000000014008d01020001010000000000050b000000000018009d010200010200000000000520_
0000002302000000001800ff010f000102000000000005200000002002000000001800ff010f00010200000000000_
5200000002502000000001400fd010200010100000000000512000000000014004000000001010000000000051300_
00000000140040000000010100000000000514000000000018009d0102000102000000000005200000002c0200000_
10100000000000512000000010100000000000512000000

Für den UPnPHost-Dienst:

reg add HKLM\System\CurrentControlSet\Services\upnphost\Security /v Security /t REG_BINARY /d _
01001480bc000000c8000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
00002008c000600000000001400ff010f0001010000000000051200000000001800ff010f00010200000000000520_
0000002002000000001800fd0102000102000000000005200000002302000000001800ff010f00010200000000000_
52000000025020000000014009d00020001010000000000050b000000000014008f01020001010000000000051300_
0000010100000000000512000000010100000000000512000000

Für den ScardSvr-Dienst:

reg add HKLM\System\CurrentControlSet\Services\scardsvr\Security /v Security /t REG_BINARY /d _
01001480a4000000b0000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
000020074000500000000001400fd01020001010000000000051200000000001400fd010200010100000000000513_
00000000001800ff010f000102000000000005200000002002000000001800ff010f0001020000000000052000000_
025020000000014009d01020001010000000000020000000001010000000000051200000001010000000000051200_
0000

Für den DHCP-Dienst:

reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dhcp\security /v Security /t REG_BINARY /d _
01001480900000009C000000140000003000000002001C00010000002801400FF010F00010100000000000100000000020060000_
4000000000014008D01020001010000000000050B00000000001800FD010200012000000000005200000002C02000000001800FF_
010F00010200000000005200000002002000000001400FD010200010100000000000512000000101000000000005120000000101_
00000000000512000000

Für den DnsCache-Dienst:

reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dnscache\security /v Security /t REG_BINARY /d_
01001480A8000000B4000000140000003000000002001C00010000002801400FF010F00010100000000000100000000020078000500_
0000000014008D01020001010000000000050B000000000018009D010200012000000000005200000002302000000001800FD010200_
010200000000005200000002C02000000001800FF010F000102000000000005200000002002000000001400FD010200010100000000_
00051200000001010000000000512000000010100000000000512000000

Modifizieren Sie unter Windows Server 2003 die folgenden Registrierungsschlüssel, um den betroffenen Standarddienst von Windows 2003 zu ändern.

Für den NetBT-Dienst:

Für den DHCP-Dienst:

reg add HKLM\System\CurrentControlSet\Services\dhcp\Security /v Security /t REG_BINARY /d _
01001480900000009C000000140000003000000002001C00010000002801400FF010F000101000000000001000_
000000200600004000000000014008D01020001010000000000050B00000000001800FD0102000020000000000_
05200000002C02000000001800FF010F000102000000000005200000002002000000001400FD01020001010000_
000000051200000010100000000000512000000010100000000000512000000

Für den DnsCache-Dienst:

reg add HKLM\System\CurrentControlSet\Services\dnscache\Security /v Security /t REG_BINARY /d _
01001480900000009C000000140000003000000002001C00010000002801400FF010F000101000000000001000_
000000200600004000000000014008D01020001010000000000050B00000000001800FD0102000020000000000_
05200000002C02000000001800FF010F000102000000000005200000002002000000001400FD01020001010000_
000000051200000010100000000000512000000010100000000000512000000

Hinweis: Für diese Registrierungsschlüsselwerte wurde der Unterstrich (_) und ein Wagenrücklauf eingefügt, um das Lesen zu erleichtern. Entfernen Sie dieses Zeichen und diesen Wagenrücklauf, um den Befehl ordnungsgemäß auszuführen.

Auswirkung der Problemumgehung: Zusätzlich zur Anpassung der Dienste-DACLs an die DACLs für Windows Server 2003 Service Pack 1 und Windows XP Service Pack 2 ist auch kein Neustart des Computers erforderlich.

Top of section

Häufig gestellte Fragen (FAQs) zum Abschnitt „Uneingeschränkte Windows Services DACLs könnten eine Erhöhung von Berechtigungen ermöglichen – CAN-2006-0023“

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um eine Erhöhung von Berechtigungen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Der Angreifer könnte die mit den betroffenen Diensten verbundene Standard-Binäranwendung ändern. Daraufhin könnte der Angreifer die Dienste anhalten und neu starten, um ein schädliches Programm oder eine schädliche Binäranwendung zu starten. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Unter Windows XP Service Pack 1 sind Berechtigungen auf den genannten Windows-Diensten standardmäßig auf eine Stufe gesetzt, bei der ein Benutzer mit geringen Berechtigungen die mit dem Dienst verbundenen Eigenschaften ändern kann. Unter Windows Server 2003 sind die Berechtigungen auf den genannten Diensten auf eine Stufe eingestellt, die es einem Benutzer der Gruppe der Netzwerkkonfigurations-Operatoren ermöglichen könnte, mit dem Dienst verbundene Eigenschaften zu ändern.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Durch Ändern des verknüpften Programms, das standardmäßig zur Ausführung eines genannten Dienstes verwendet wird, kann ein Benutzer mit geringen Berechtigungen Befehle und Programmdateien ausführen, die in der Regel höhere Berechtigungen erfordern.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer über gültige Anmeldeinformationen für das betroffene System verfügen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer, wie gesagt, zunächst über gültige Anmeldeinformationen für das betroffene System verfügen. Er könnte dann auf die betroffene Komponente zugreifen und eine Standardanwendung ausführen, mit der er die Sicherheitsanfälligkeit ausnutzen und komplette Kontrolle über das betroffene System erlangen kann.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Sowohl Arbeitsstationen als auch Server sind von dieser Sicherheitsanfälligkeit betroffen.

Sind Windows 98, Windows 98 Second Edition oder Windows Millennium Edition auf kritische Weise von dieser Sicherheitsanfälligkeit betroffen?
Nein. Windows 98, Windows 98 Second Edition und Windows Millennium Edition enthalten die betroffene Komponente nicht.

Ist Windows 2000 von dieser Sicherheitsanfälligkeit betroffen?
Bei identifizierten Szenarios handelt es sich um Mitglieder der administrativen Gruppe der Poweruser, die allerdings als vertrauenswürdige Benutzer mit umfassenden Berechtigungen und der Möglichkeit zum Ändern computerweiter Einstellungen ausgestattet sein sollten. Weitere Informationen über Rechte in Zusammenhang mit der administrativen Gruppe der Poweruser finden Sie im Microsoft Knowledge Base-Artikel 825069. Windows 2000 ist möglicherweise dafür anfällig, wenn der Anwendungscode Dritter installiert wurde, der Dienste mit einer uneingeschränkten Zugriffssteuerung hinzufügt.

Wie stelle ich fest, ob Drittanwendungen betroffen sind?
Die Benutzer werden aufgefordert, die Lieferanten von Drittsoftware zu kontaktieren, deren Produkte die Installation von Diensten erforderlich macht, um festzustellen, ob nicht standardmäßige Windows-Dienste betroffen sind. Softwareentwickler sollten den Microsoft Knowledge Base-Artikel 914392 durchlesen, um weitere Informationen und bewährte Methoden zum Installieren einer sicheren Zugriffssteuerung für Dienste zu erhalten.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Nein. Ein Angreifer muss über gültige Anmeldeinformationen für das spezifische System, das angegriffen werden soll, verfügen.

Was bewirkt das Update?
Mit dem Update werden die standardmäßigen DACLs unter Windows XP Service Pack 1 und Windows Server in DACLs mit erhöhter Sicherheit geändert, die unter Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 verwendet werden.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CVE-2006-0023 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zwar zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins Codebeispiele für ein Angriffskonzept vor, aber keine Informationen, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde.

Top of section

Informationen zum Sicherheitsupdate

Betroffene Software:

Um Informationen zum jeweiligen Sicherheitsupdate für Ihre betroffene Software zu erhalten, klicken Sie auf den entsprechenden Link:

Windows Server 2003

Voraussetzungen
Dieses Sicherheitsupdate erfordert eine veröffentlichte Version von Windows Server 2003.

Aufnahme in zukünftige Service Packs:
Die Fehlerbehebung für dieses Problem ist in Windows Server 2003 Service Pack 1 enthalten.

Informationen zur Installation

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/overwriteoem	Überschreibt OEM-Dateien ohne Bestätigung.
/nobackup	Erstellt keine Sicherungskopien der Dateien für die Deinstallation.
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log: Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.
/integrate:Pfad	Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Installationsoption angegeben ist.
/extract[:Pfad]	Extrahiert Dateien, ohne das Setup-Programm zu starten.
/ER	Aktiviert erweiterte Fehlerberichterstattung.
/verbose	Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch zahlreiche Installationsoptionen, die von der früheren Version des Installationsprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841. Weitere Informationen zum Installationsprogramm Update.exe finden Sie auf der Microsoft TechNet Website.

Informationen zur Bereitstellung

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows Server 2003, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windowsserver2003-kb914798-x86-enu /quiet

Hinweis: Durch die Verwendung der Installationsoption /quiet werden alle Meldungen unterdrückt. Dies gilt auch für Fehlermeldungen. Bei Verwendung der Installationsoption /quiet sollten Administratoren anhand einer der empfohlenen Methoden überprüfen, ob die Installation erfolgreich war. Administratoren sollten bei Verwendung dieser Option außerdem in der Protokolldatei KB914798.log überprüfen, ob Fehlermeldungen vorliegen.

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Software Update Services finden Sie auf der Website zu Software Update Services. Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mithilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website. Dieses Update ist auch über die Microsoft Update-Website verfügbar.

Neustartanforderung

Für dieses Update ist kein Neustart des Computers erforderlich. Das Installationsprogramm beendet die erforderlichen Dienste, installiert das Update und startet die Dienste dann neu. Wenn jedoch die erforderlichen Dienste aus irgendwelchen Gründen nicht beendet werden können oder benötigte Dateien aktuell verwendet werden, ist für dieses Update ein Neustart des Computers erforderlich. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert. Damit nicht unbedingt ein Neustart ausgeführt werden muss, beenden Sie alle betroffenen Dienste, und schließen Sie alle Anwendungen, die auf die betroffenen Dateien zugreifen, bevor Sie das Sicherheitsupdate installieren. Weitere Informationen zu möglichen Gründen für einen Neustart des Computers finden Sie im Microsoft Knowledge Base-Artikel 887012.

Informationen zur Deinstallation

Dieses Update kann nicht entfernt werden. Weitere Informationen zum manuellen Entfernen der Änderungen, die von dem Update vorgenommen wurden, finden Sie im Microsoft Knowledge Base-Artikel 914798.

Dateiinformationen

Durch dieses Update werden lediglich die Systemeigenschaften für die genannten Dienste modifiziert und keine neuen Binärdateien auf dem System installiert.

Weitere Informationen hierzu finden Sie im Microsoft Knowledge Base-Artikel 824994.

Weitere Informationen zum Installationsprogramm Update.exe finden Sie auf der Microsoft TechNet Website.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer

Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Dieses Tool ermöglicht Administratoren die Überprüfung von lokalen und Remotesystemen im Hinblick auf fehlende Sicherheitsupdates sowie auf gängige fehlerhafte Sicherheitskonfigurationen. Weitere Informationen zu MBSA finden Sie auf der Website Microsoft Baseline Security Analyzer.

•

Überprüfung des Registrierungsschlüssels

Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des folgenden Registrierungsschlüssels überprüfen:

Windows Server 2003 Web Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition, Windows Small Business Server 2003, Windows Server Enterprise Edition für Itanium-basierte Systeme und Windows Server 2003 Datacenter Edition für Itanium-basierte Systeme:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB914798\Filelist

Hinweis: Dieser Registrierungsschlüssel enthält möglicherweise keine vollständige Liste der installierten Dateien. Zudem wird der Registrierungsschlüssel möglicherweise nicht einwandfrei erstellt, falls ein Administrator oder OEM das Sicherheitsupdate in die Windows-Installationsquelldateien integriert oder einbindet.

Top of section

Windows XP

Voraussetzungen:
Für dieses Sicherheitsupdate muss Microsoft Windows XP Service Pack 1 installiert sein. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 322389.

Aufnahme in zukünftige Service Packs:
Das Update für dieses Problem ist in Windows XP Service Pack 2 enthalten.

Informationen zur Installation

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/overwriteoem	Überschreibt OEM-Dateien ohne Bestätigung.
/nobackup	Erstellt keine Sicherungskopien der Dateien für die Deinstallation.
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.
/integrate:Pfad	Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Installationsoption angegeben ist.
/extract[:Pfad]	Extrahiert Dateien, ohne das Setup-Programm zu starten.
/ER	Aktiviert erweiterte Fehlerberichterstattung.
/verbose	Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Installationsoptionen, die von der früheren Version des Installationsprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841. Weitere Informationen zum Installationsprogramm Update.exe finden Sie auf der Microsoft TechNet Website.

Informationen zur Bereitstellung

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Microsoft Windows XP, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windowsxp-kb914798-x86-enu /quiet

Neustartanforderung

Für dieses Update ist kein Neustart des Computers erforderlich. Das Installationsprogramm beendet die erforderlichen Dienste, installiert das Update und startet die Dienste dann neu. Wenn jedoch die erforderlichen Dienste aus irgendwelchen Gründen nicht beendet werden können oder benötigte Dateien aktuell verwendet werden, ist für dieses Update ein Neustart des Computers erforderlich. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert. Weitere Informationen zu möglichen Gründen für einen Neustart des Computers finden Sie im Microsoft Knowledge Base-Artikel 887012.

Informationen zur Deinstallation

Dieses Update kann nicht entfernt werden. Weitere Informationen zum manuellen Entfernen der Änderungen, die von dem Update vorgenommen wurden, finden Sie im Microsoft Knowledge Base-Artikel 914798.

Durch dieses Update werden lediglich die Systemeigenschaften für die genannten Dienste modifiziert und keine neuen Binärdateien auf dem System installiert.

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer

•

Überprüfung des Registrierungsschlüssels

Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des folgenden Registrierungsschlüssels überprüfen:

Für Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition und Windows XP Media Center Edition:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB914798\Filelist

Top of section

Danksagungen

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

•	Andres Tarasco von der SIA Group für seine Zusammenarbeit mit Microsoft beim Identifizieren des Problems „Uneingeschränkte Windows Services DACLs könnten eine Erhöhung von Berechtigungen ermöglichen – CAN-2006-0023“

Weitere Sicherheitsupdates:

Updates für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:

•	Sicherheitsupdates sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Suche nach dem Begriff „security_patch“ oder „security_update“ ermittelt werden.
•	Updates für Kundenplattformen können Sie auf der Microsoft Update-Website abrufen.

Support:

•	Technischer Support ist über die Microsoft Support Services erhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos.
•	Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Supportanfragen zu Sicherheitsupdates sind kostenlos. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der International Support-Website.

Sicherheitsressourcen:

•	Die Website TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.
•	Microsoft Software Update Services
•	Microsoft Windows Server Update Services
•	Microsoft Baseline Security Analyzer (MBSA)
•	Windows Update
•	Microsoft Update
•	Windows Update-Katalog: Weitere Informationen zum Windows Update-Katalog finden Sie im Microsoft Knowledge Base-Artikel 323166.
•	Office Update

Software Update Services:

Mit den Microsoft Software Update Services (SUS) können Sie als IT-Administrator neue wichtige Updates, Hotfixes oder Patches schnell und zuverlässig auf den Servern und Desktop-Computern in Ihrem Netzwerk bereitstellen. Die SUS unterstützen die Produkte der Windows 2000 Server- und Windows Server 2003-Familie sowie Windows 2000 Professional und Windows XP Professional.

Weitere Informationen zum Bereitstellen von Sicherheitsupdates mithilfe der Software Update Services finden Sie auf der Software Update Services-Website.

Windows Server Update Services:

Mithilfe der Windows Server Update Services (WSUS) können Administratoren die neuesten wichtigen Aktualisierungen und Sicherheitsupdates für Windows 2000 und später, Office XP und später, Exchange Server 2003 und SQL Server 2000 schnell und zuverlässig bereitstellen.

Weitere Informationen zum Bereitstellen von Sicherheitsupdates mithilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website.

Systems Management Server:

Der Systems Management Server von Microsoft stellt eine wertvolle Hilfe beim Bereitstellen von Sicherheitsupdates in Ihrer IT-Umgebung dar. Durch die Verwendung von SMS können Administratoren auf Windows basierte Systeme identifizieren, für die Sicherheitsupdates erforderlich sind, und für eine kontrollierte Bereitstellung dieser Updates im gesamten Unternehmen bei minimalen Unterbrechungen für Endbenutzer sorgen. Hierbei handelt es sich zum Beispiel um das SMS 2003 Software Update Services Feature Pack und das SMS 2003 Administration Feature Pack. Benutzer von SMS 2.0 können auch die Website Software Updates Service Feature Pack besuchen, um Hilfe bei der Bereitstellung von Sicherheitsupdates zu erhalten. Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Hinweis: SMS nutzt Microsoft Baseline Security Analyzer, das Microsoft Office Detection Tool und das Enterprise Update Scanning Tool, um eine breite Unterstützung bei der Erkennung und der Bereitstellung von Security Bulletin-Updates zu bieten. Einige Softwareupdates werden von diesen Tools möglicherweise nicht erkannt. Administratoren können in diesen Fällen die Inventurfunktionen von SMS nutzen, um Updates auf ausgewählten Systemen zu installieren. Weitere Informationen hierzu finden Sie auf dieser Website. Bei einigen Sicherheitsupdates, die einen Neustart des Systems erfordern, sind unter Umständen administrative Rechte nötig. Administratoren können das im SMS 2003 Administration Feature Pack und im SMS 2.0 Administration Feature Pack enthaltene Elevated Rights Deployment Tool verwenden, um diese Updates zu installieren.

Haftungsausschluss:

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

•	V1.0 (14. März 2006): Bulletin veröffentlicht.
•	V1.1 (17. März 2006): Für Windows Server 2003 wurde der Abschnitt zur Dateiüberprüfung aktualisiert, um den entsprechenden Registrierungsschlüssel für die Dateierkennung anzugeben.
•	V2.0 (13. Juni 2006): Dieses Update wurde überarbeitet, um aktualisierte Registrierungsschlüsselwerte für NetBT, RemoteAccess und TCPIP-Dienste darin aufzunehmen. Diese Werte wurden geändert, um identisch mit denjenigen für Windows XP Service Pack 2 auf Systemen mit Windows XP Service Pack 1 sowie Windows 2003 Service Pack 1 auf Windows 2003-Systemen ohne installiertes Service Pack zu sein. Benutzer werden aufgefordert, dieses überarbeitete Update zu installieren, um zusätzlichen Schutz vor der Erhöhung von Berechtigungen durch diese Dienste zu erhalten, wie im Abschnitt „Einzelheiten zu dieser Sicherheitsanfälligkeit“ dieses Security Bulletins beschrieben wird.
•	V2.1 (14. Juni 2006): Bulletin aktualisiert, um zu verdeutlichen, dass Windows 2003-Systeme ohne installiertes Service Pack von der Aktualisierung am 13. Juni 2006 nicht betroffen sind.

Zum Seitenanfang