TechNet Sicherheit > Security Bulletin-Suche

Microsoft Security Bulletin MS07-039 - Kritisch

Sicherheitsanfälligkeit in Windows Active Directory kann Remotecodeausführung ermöglichen (926122)

Veröffentlicht: 10. Jul 2007 | Aktualisiert: 12. Jul 2007

Version: 1.1

Allgemeine Informationen

Kurzzusammenfassung

Dieses kritische Sicherheitsupdate behebt eine von Privatanwendern gemeldete Sicherheitsanfälligkeit in Implementierungen von Active Directory auf Windows 2000 Server und Windows Server 2003, die eine Remotecodeausführung oder Denial-of-Service-Bedingung ermöglichen kann. Das Ausnutzen dieser Sicherheitsanfälligkeit würde höchstwahrscheinlich zu einem Denial-of-Service führen. Eine Remotecodeausführung aus ist jedoch ebenfalls möglich. Unter Windows Server 2003 muss ein Angreifer über gültige Anmeldeinformationen verfügen, um diese Sicherheitsanfälligkeit ausnutzen zu können. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Berechtigungen erstellen.

Dies ist ein kritisches Sicherheitsupdate für unterstützte Editionen von Windows 2000 und ein wichtiges Sicherheitsupdate für unterstützte Editionen von Windows Server 2003. Weitere Informationen finden Sie in dem Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.

Dieses Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem die Anzahl konvertierbarer Attribute in der Client LDAP-Anforderung überprüft wird. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im nächsten Abschnitt, Informationen zu Sicherheitsanfälligkeiten.

Empfehlung. Microsoft empfiehlt Benutzern die sofortige Installation des Updates.

Bekannte Probleme. Keine.

Top of sectionTop of section

Betroffene und nicht betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Betroffene Software

BetriebssystemMaximale SicherheitsauswirkungBewertung des GesamtschweregradsBulletins, die durch dieses Update ersetzt werden

Microsoft Windows 2000 Server Service Pack 4

Remotecodeausführung

Kritisch

Keine

Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2

Remotecodeausführung

Hoch

Keine

Windows Server 2003 x64 Edition und Microsoft Windows Server 2003 x64 Edition Service Pack 2

Remotecodeausführung

Hoch

Keine

Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte Systeme

Remotecodeausführung

Hoch

Keine

Nicht betroffene Software

Betriebssystem

Windows 2000 Professional Service Pack 4

Windows XP Service Pack 2

Windows XP Professional x64 Edition und Windows XP Professional x64 Edition Service Pack 2

Windows Vista

Windows Vista x64 Edition

Active Directory-Anwendungsmodus (ADAM) Service Pack 1

Hinweis: Diese Editionen von Windows sind nicht betroffen, da sie nicht die Serverkomponente von Active Directory enthalten.

Top of sectionTop of section

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Ich habe keine der betroffenen Software installiert. Warum wird mir dieses Sicherheitsupdate angeboten?  
Die durch dieses Sicherheitsupdate behobenen Sicherheitsanfälligkeiten betreffen zwar nur Computer mit Windows 2000 Server und Windows Server 2003, die als Domänencontroller fungieren; doch der anfällige Code ist auf allen unterstützten Editionen von Windows 2000 und Windows 2003 vorhanden. Dieses Update wird für alle Systeme angeboten, die anfälligen Code enthalten.

Ich habe ADAM installiert, was soll ich tun?  
Der anfällige Code ist im ADAM Service Pack 1 nicht vorhanden. Der anfällige Code ist jedoch in Versionen vor ADAM Service Pack 1 vorhanden. Es wird empfohlen, das Service Pack 1 für ADAM zu installieren. Weitere Informationen zum ADAM Service Pack 1 finden Sie auf der ADAM SP1 Downloadsite.

Was ist ADAM?  
ADAM stellt Datenspeicherung und -abruf für verzeichnisfähige Anwendungen ohne die Abhängigkeiten bereit, die für den Active Directory-Dienst erforderlich sind. ADAM stellt viele der gleichen Funktionen bereit wie Active Directory, doch es ist keine Bereitstellung von Domänen oder Domänencontrollern erforderlich. Außerdem ist das Verzeichnisschema für ADAM vollständig unabhängig von dem Unternehmensschema, das Sie u. U. in einer Active Directory-Domäne verwenden. Sie können mehrere Instanzen von ADAM gleichzeitig auf einem einzelnen Computer ausführen, wobei jede über ein unabhängig verwaltetes Schema verfügt.
Weitere Informationen zu ADAM finden Sie unter Einführung in den Active Directory-Anwendungsmodus.

Ich verwende eine ältere Veröffentlichung der in diesem Security Bulletin beschriebenen Software. Was soll ich tun?  
Die in diesem Bulletin aufgeführte betroffene Software wurde daraufhin getestet, welche einzelnen Versionen betroffen sind. Andere Versionen haben das Ende ihrer Supportlebenszyklen erreicht. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion zu ermitteln.

Benutzer älterer Versionen dieser Software sollten möglichst bald zu Versionen migrieren, für die Support angeboten wird, um sich vor künftigen Sicherheitsanfälligkeiten zu schützen. Weitere Informationen zu den Windows-Produktzyklen finden Sie auf der Website Microsoft Support Lifecycle. Weitere Informationen zur erweiterten Unterstützung durch Sicherheitsupdates für diese Softwareversionen finden Sie auf der Website Microsoft Support Services.

Benutzer, die zusätzlichen Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kundenbetreuer, ihren Technical Account Manager oder den jeweiligen Microsoft-Partner wenden, um Supportangebote in Anspruch nehmen zu können. Kunden, die nicht über einen Alliance-, Premier- oder Authorized-Vertrag verfügen, können sich mit der regionalen Microsoft-Vertriebsniederlassung in Verbindung setzen. Kontaktinformationen finden Sie auf der Website Microsoft Worldwide. Wählen Sie Ihr Land aus, und klicken Sie auf Go. Es wird eine Telefonnummer für Ihr Land angezeigt. Wenn Sie unter der angegebenen Nummer anrufen, fragen Sie bitte nach dem regionalen Vertriebsmanager für Premier Support. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum Supportlebenszyklus für Windows.

Top of sectionTop of section

Sicherheitsanfälligkeitsinformationen

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit

Bewertung des Schweregrads und Maximale Sicherheitsauswirkung durch Betroffene Software
Betroffene SoftwareSicherheitsanfälligkeit in Active Directory bezüglich Remotecodeausführung - CVE-2007-0040Sicherheitsanfälligkeit Active Directory bezüglich Denial-of-Service - CVE- 2007-3028Bewertung des Gesamtschweregrads

Windows 2000 Server Service Pack 4

Kritisch
Remotecodeausführung

Hoch
Denial-of-Service (DoS)

Kritisch

Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2

Hoch
Remotecodeausführung

Keine

Hoch

Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition Service Pack 2

Hoch
Remotecodeausführung

Keine

Hoch

Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte Systeme

Hoch
Remotecodeausführung

Keine

Hoch

Top of sectionTop of section

Sicherheitsanfälligkeit in Windows Active Directory bezüglich Remotecodeausführung - CVE-2007-0040

Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, die durch die Überprüfung von LDAP-Anforderungen in Active Directory verursacht wird. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2007-0040.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit in Windows Active Directory bezüglich Remotecodeausführung - CVE-2007-0040

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

Kunden, bei denen der Einsatz der betroffenen Komponente erforderlich ist, können Netzwerke mithilfe bewährter Firewallmethoden und standardisierter Firewallkonfigurationen vor Remoteangriffen schützen. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Das Ausnutzen dieser Sicherheitsanfälligkeit würde höchstwahrscheinlich zu einem Denial-of-Service führen. Eine Remotecodeausführung aus ist jedoch ebenfalls möglich.

Unter Windows Server 2003 muss ein Angreifer über gültige Anmeldeinformationen verfügen, um diese Sicherheitsanfälligkeit ausnutzen zu können; die Sicherheitsanfälligkeit kann nicht von einem anonymen Benutzer ausgenutzt werden.

Top of sectionTop of section

Problemumgehungen für die Sicherheitsanfälligkeit in Windows Active Directory bezüglich Remotecodeausführung - CVE-2007-0040

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

Blockieren Sie Folgendes an der Firewall:

TCP-Port 389

Dieser Port wird zum Einleiten einer Verbindung mit der betroffenen Komponente verwendet. Das Blockieren dieses Ports an der Unternehmensfirewall (sowohl in eingehender als auch ausgehender Richtung) verhindert, dass Systeme hinter dieser Firewall Angriffen ausgesetzt werden, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Weitere Informationen zu den Ports finden Sie unter TCP- und UDP-Portzuweisungen.

Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie die betroffenen Ports mithilfe von IPSec auf den betroffenen Systemen blockieren.

Mit Hilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen zu IPSec und dem Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190 und Microsoft Knowledge Base-Artikel 813878.

Top of sectionTop of section

Häufig gestellte Fragen zur Sicherheitsanfälligkeit in Windows Active Directory bezüglich Remotecodeausführung - CVE-2007-0040

Worin genau besteht diese Sicherheitsanfälligkeit? 
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Hinweis. Das Ausnutzen dieser Sicherheitsanfälligkeit würde höchstwahrscheinlich zu einem Denial-of-Service führen. Remotecodeausführung wäre jedoch möglich, daher ist der Umfang größer als nur ein Denial-of-Service.

Was ist die Ursache dieser Sicherheitsanfälligkeit? 
Der LDAP-Dienst führt unzureichende Überprüfungen für die Anzahl konvertierbarer Attribute in einer LDAP-Anforderung durch.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen? 
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er vollständige Kontrolle über das betroffene System erlangen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen? 
Bei Windows 2000 Server kann ein beliebiger anonymer Benutzer mit Zugriff auf das Zielnetzwerk ein speziell gestaltetes Netzwerkpaket an das betroffene System senden, um diese Sicherheitsanfälligkeit auszunutzen. Unter Windows Server 2003 muss der Angreifer über gültige Anmeldeinformationen für die Authentifizierung verfügen, um zu versuchen, diese Sicherheitsanfälligkeit auszunutzen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar? 
LDAP ist eine Voraussetzung für Active Directory. Daher sind alle Windows 2000 Server oder Windows Server 2003, die als Active Directory-Server ausgeführt werden, von dieser Sicherheitsanfälligkeit betroffen.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?  
Ja. Ein Angreifer kann diese Sicherheitsanfälligkeit über das Internet ausnutzen. Gängige, bewährte Firewallmethoden enthalten jedoch Active Directory-Anforderungen für das Innere der Unternehmensinfrastruktur. Empfohlene Vorgehensweisen für die Firewall können gegen Angriffe aus dem Internet schützen.

Was ist LDAP?  
LDAP (Lightweight Directory Access Protocol) ist ein Protokoll nach Branchenstandard, das autorisierten Benutzern das Abfragen oder Bearbeiten von Daten in einem Metaverzeichnis ermöglicht. In Windows Server 2000 und Windows Server 2003 ist LDAP ein Protokoll, mit dem auf Daten im Active Directory zugegriffen wird.

Was bewirkt das Update? 
Das Update behebt die Sicherheitsanfälligkeit, indem die Anzahl konvertierbarer Attribute, die in einer LDAP-Anforderung enthalten sind, geprüft wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt? 
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde? 
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Top of sectionTop of section
Top of sectionTop of section

Sicherheitsanfälligkeit Windows Active Directory bezüglich Denial-of-Service - CVE- 2007-3028

Es liegt eine Sicherheitsanfälligkeit bezüglich Denial-of-Service vor, die durch die Überprüfung einer von einem Client gesendeten LDAP-Anforderung in Microsoft Active Directory verursacht wird. Ein Angreifer kann die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete LDAP-Anforderung an einen Server sendet, auf dem Active Directory ausgeführt wird. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann bewirken, dass der Server vorübergehend nicht mehr reagiert.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2007-3028.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit Windows Active Directory bezüglich Denial-of-Service - CVE-2007-3028

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

Kunden, bei denen der Einsatz der betroffenen Komponente erforderlich ist, können Netzwerke mithilfe bewährter Firewallmethoden und standardisierter Firewallkonfigurationen vor Remoteangriffen schützen. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Windows Server 2003-Editionen sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Top of sectionTop of section

Problemumgehungen für die Sicherheitsanfälligkeit Windows Active Directory bezüglich Denial-of-Service - CVE-2007-3028

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

Blockieren Sie Folgendes an der Firewall:

TCP-Ports 389 und 3268

Diese Ports werden zum Einleiten einer Verbindung mit der betroffenen Komponente verwendet. Das Blockieren dieser Ports an der Unternehmensfirewall (sowohl in eingehender als auch ausgehender Richtung) verhindert, dass Systeme hinter dieser Firewall Angriffen ausgesetzt werden, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Weitere Informationen zu den Ports finden Sie unter TCP- und UDP-Portzuweisungen.

Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie die betroffenen Ports mithilfe von IPSec auf den betroffenen Systemen blockieren.

Mit Hilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen zu IPSec und dem Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190 und Microsoft Knowledge Base-Artikel 813878.

Top of sectionTop of section

Häufig gestellte Fragen zur Sicherheitsanfälligkeit Windows Active Directory bezüglich Denial-of-Service - CVE-2007-3028

Worin genau besteht diese Sicherheitsanfälligkeit? 
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Denial-of-Service-Angriff. Ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, kann bewirken, dass das betroffene System vorübergehend nicht mehr reagiert. Während jener Zeit wäre der Server unfähig, auf Anforderungen zu antworten. Beachten Sie, dass eine Sicherheitsanfälligkeit vom Typ Denial-of-Service einem Angreifer keine Codeausführung oder Erhöhung von Benutzerberechtigungen ermöglicht, sondern dazu führt, dass das betroffene System keine Anforderungen mehr annimmt.

Was ist die Ursache dieser Sicherheitsanfälligkeit? 
Der LDAP-Dienst führt eine falsche Decodierung von Daten durch, die in der Client LDAP-Anforderung gesendet werden.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen? 
Ein Angreifer kann versuchen, die Sicherheitsanfälligkeit auszunutzen, indem er eine speziell gestaltete Anforderung an ein betroffenes System sendet. Die Nachricht kann bewirken, dass das betroffene System nicht mehr reagiert.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar? 
LDAP ist eine Voraussetzung für Active Directory. Daher ist jeder Windows 2000 Server, der als Active Directory-Server ausgeführt wird, von dieser Sicherheitsanfälligkeit betroffen.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?  
Ja. Ein Angreifer kann diese Sicherheitsanfälligkeit über das Internet ausnutzen. Gängige, bewährte Firewallmethoden enthalten jedoch Active Directory-Anforderungen für das Innere der Unternehmensinfrastruktur. Empfohlene Vorgehensweisen für die Firewall können gegen Angriffe aus dem Internet schützen.

Was ist LDAP?  
LDAP (Lightweight Directory Access Protocol) ist ein Protokoll nach Branchenstandard, das autorisierten Benutzern das Abfragen oder Bearbeiten von Daten in einem Metaverzeichnis ermöglicht. In Windows Server 2000 und Windows Server 2003 ist LDAP ein Protokoll, mit dem auf Daten im Active Directory zugegriffen wird.

Was bewirkt das Update? 
Das Update behebt die Sicherheitsanfälligkeit, indem die Logik der von Clients gesendeten LDAP-Anforderungen überprüft wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt? 
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde? 
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Top of sectionTop of section
Top of sectionTop of section

Informationen zum Update

Tools und Anleitungen zur Erkennung und Bereitstellung

Verwalten Sie die Software und die Sicherheitsupdates, die Sie den Servern, Desktops und mobilen Computer in Ihrer Organisation bereitstellen müssen. Weitere Informationen finden Sie im TechNet Update Management Center. Die Website TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.

Sicherheitsupdates sind auch im Microsoft Download Center, Windows Update und Office Update verfügbar. Sicherheitsupdates sind auch im Microsoft Download Center verfügbar. und können am einfachsten durch eine Suche nach dem Begriff „security_patch“ oder „security_update“ ermittelt werden. Außerdem können Sicherheitsupdates vom Windows Update-Katalog heruntergeladen werden. Weitere Informationen zum Windows Update-Katalog finden Sie im Microsoft Knowledge Base-Artikel 323166.

Anleitungen zur Erkennung und Bereitstellung:

Zu den Sicherheitsupdates dieses Monats stellt Microsoft Anleitungen zur Erkennung und Bereitstellung zur Verfügung: Diese Anleitungen geben auch IT-Profis Informationen zum Einsatz der verschiedenen Tools und zur Bereitstellung des Sicherheitsupdates. Behandelt werden u. a. Windows Update, Microsoft Update, Office Update, Microsoft Baseline Security Analyzer (MBSA), Office Detection Tool, Microsoft Systems Management Server (SMS), Extended Security Update Inventory Tool und Enterprise Update Scan Tool (EST). Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 910723.

Microsoft Baseline Security Analyzer

Der Microsoft Baseline Security Analyzer (MBSA) ermöglicht Administratoren die Überprüfung von lokalen und Remotesystemen im Hinblick auf fehlende Sicherheitsupdates sowie auf häufig falsch konfigurierte Sicherheitsparameter. Weitere Informationen zu MBSA finden Sie hier. Die folgende Tabelle enthält die Zusammenfassung zur MBSA-Erkennung für dieses Sicherheitsupdate.

SoftwareMBSA 1.2.1MBSA 2.0.1

Microsoft Windows 2000 Server Service Pack 4

Ja

Ja

Windows Server 2003 Service Pack 1 und Microsoft Windows Server 2003 Service Pack 2

Ja

Ja

Windows Server 2003 x64 Edition und Microsoft Windows Server 2003 x64 Edition Service Pack 2

Nein

Ja

Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Microsoft Windows Server 2003 mit SP2 für Itanium-basierte Systeme

Nein

Ja

Weitere Informationen zu MBSA finden Sie auf der MBSA-Website. Weitere Informationen zur Software, die Microsoft Update und MBSA 2.0 derzeit nicht erkennen, finden Sie im Microsoft Knowledge Base-Artikel 895660.

Windows Server Update Services

Mithilfe der Windows Server Update Services (WSUS) können Administratoren die neuesten wichtigen Aktualisierungen und Sicherheitsupdates für Windows 2000 und später, Office XP und später, Exchange Server 2003 und SQL Server 2000 bereitstellen. Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mithilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website.

Systems Management Server

Die folgende Tabelle enthält eine Zusammenfassung zur SMS-Erkennung und -Bereitstellung für dieses Sicherheitsupdate.

SoftwareSMS 2.0SMS 2003

Microsoft Windows 2000 Service Pack 4

Ja

Ja

Windows Server 2003 Service Pack 1 und Microsoft Windows Server 2003 Service Pack 2

Ja

Ja

Windows Server 2003 x64 Edition und Microsoft Windows Server 2003 x64 Edition Service Pack 2

Nein

Ja

Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte Systeme

Nein

Ja

SMS 2.0 und SMS 2003 Software Update Services (SUS) Feature Pack können zur Erkennung MBSA 1.2.1 verwenden und weisen daher dieselbe Einschränkung auf, die weiter oben in diesem Bulletin bezüglich der nicht von MBSA 1.2.1 erkannten Programme aufgeführt ist.

Im Fall von SMS 2.0 kann von SMS zum Auffinden von Sicherheitsupdates das SMS SUS Feature Pack, das das Sicherheitsupdate-Inventurprogramm (SUIT) enthält, verwendet werden. SMS SUIT verwendet das MBSA 1.2.1-Programm für die Erkennung. Weitere Informationen zu SUIT finden Sie auf dieser Microsoft-Website. Weitere Informationen zu den Einschränkungen von SUIT finden Sie im Microsoft Knowledge Base-Artikel 306460. Das SMS SUS Feature Pack umfasst auch das Microsoft Office-Inventurprogramm zur Erkennung der für Microsoft Office-Anwendungen erforderlichen Updates.

Im Fall von SMS 2003 kann von SMS zum Auffinden von unter Microsoft Updates erhältlichen Sicherheitsupdates und Updates, die von Windows Server Update Services unterstützt werden, das SMS 2003-Inventurprogramm für Microsoft-Updates (ITMU) verwendet werden. Weitere Informationen zum SMS 2003-Inventurprogramm für Microsoft-Updates finden Sie auf der dieser Microsoft-Website. SMS 2003 kann auch das Microsoft Office-Inventurprogramm zur Erkennung der für Microsoft Office-Anwendungen erforderlichen Updates verwenden.

Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Top of sectionTop of section

Bereitstellung von Sicherheitsupdates

Betroffene Software

Um Informationen zum jeweiligen Sicherheitsupdate für Ihre betroffene Software zu erhalten, klicken Sie auf den entsprechenden Link:

Windows 2000 Server (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Aufnahme in zukünftige Service Packs:

Das Update für dieses Problem wird möglicherweise in zukünftigen Update-Rollups enthalten sein.

Bereitstellung

 

Installieren ohne Benutzereingriff

Windows 2000 Server Service Pack 4
Windows2000-kb926122-x86-enu /quiet

Installieren ohne neu zu starten

Windows 2000 Server Service Pack 4
Windows2000-kb926122-Windows2000sp4-x86-enu /norestart

Protokolldatei aktualisieren

Windows 2000 Server Service Pack 4
KB926122.log

Weitere Informationen

Siehe den Unterabschnitt Tools und Anleitungen zur Erkennung und Bereitstellung

Neustartanforderung

 

Neustart erforderlich

Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.

HotPatching

Nicht anwendbar

Informationen zur Deinstallation

Verwenden Sie das Tool „Software“ in der Systemsteuerung oder das Dienstprogramm Spuninst.exe im Ordner %Windir%\$NTUninstallKB926122$\Spuninst

Dateiinformationen

Die vollständige Dateiaufstellung finden Sie im Unterabschnitt Dateiinformationen in diesem Abschnitt.

Überprüfung des Registrierungsschlüssels

Für Microsoft Windows 2000 Server Service Pack 4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB926122\Filelist

Dateiinformationen

Die englische Version dieses Sicherheitsupdates besitzt die Dateiattribute, die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools „Datum und Uhrzeit“ in der Systemsteuerung.

Für alle unterstützten Editionen von Windows 2000 Server:

DateinameVersionDatumUhrzeitGröße

ntdsa.dll

5.0.2195.7135

22-Apr-2007

17:52

939.280

sp3res.dll

5.0.2195.7135

18-Apr-2007

16:36

6.239.232

Hinweis: Eine vollständige Liste unterstützter Versionen und Editionen finden Sie im Supportlebenszyklusindex. Eine vollständige Liste von Service Packs finden Sie unter Lifecycle Supported Service Packs. Weitere Informationen zur Supportlebenszyklus-Richtlinie finden Sie unter Microsoft Supportlebenszyklus.

Top of sectionTop of section
Informationen zur Bereitstellung

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden.

Wenn Sie kürzlich einen Hotfix installiert haben, um eine dieser Dateien zu aktualisieren, dann kopiert das Installationsprogramm die RTMQFE-, SP1QFE bzw. SP2QFE-Dateien auf Ihr System. Andernfalls kopiert das Installationsprogramm die Dateien RTMGDR, SP1GDR oder SP2GDR auf Ihr System. Möglicherweise enthalten die Sicherheitsupdates nicht alle Varianten dieser Dateien. Weitere Informationen hierzu finden Sie im Microsoft Knowledge Base-Artikel 824994.

Weitere Informationen zum Installationsprogramm finden Sie auf der Microsoft TechNet Website.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
OptionBeschreibung

/help

Zeigt die Befehlszeilenoptionen an.

Installationsmodi 

/passive

Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.

/quiet

Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.

Neustartoptionen 

/norestart

Kein Neustart nach Abschluss der Installation

/forcerestart

Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.

/warnrestart[:x]

Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.

/promptrestart

Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.

Besondere Optionen 

/overwriteoem

Überschreibt OEM-Dateien ohne Bestätigung.

/nobackup

Erstellt keine Sicherungskopien der Dateien für die Deinstallation.

/forceappsclose

Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.

/log:path

Speichert die Installationsprotokolldateien im angegebenen Pfad.

/extract[:path]

Extrahiert Dateien, ohne das Setup-Programm zu starten.

/ER

Aktiviert erweiterte Fehlerberichterstattung.

/verbose

Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Installationsoptionen, die von der früheren Version des Installationsprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Entfernen des Updates

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für Spuninst.exe
OptionBeschreibung

/help

Zeigt die Befehlszeilenoptionen an.

Installationsmodi 

/passive

Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.

/quiet

Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.

Neustartoptionen 

/norestart

Kein Neustart nach Abschluss der Installation

/forcerestart

Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.

/warnrestart[:x]

Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.

/promptrestart

Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.

Besondere Optionen 

/forceappsclose

Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.

/log:path

Speichert die Installationsprotokolldateien im angegebenen Pfad.

Überprüfen der Updateinstallation

Microsoft Baseline Security Analyzer

Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie im Abschnitt „Tools und Anleitungen zur Erkennung und Bereitstellung“ in diesem Bulletin.

Überprüfung der Dateiversion

Da mehrere Editionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen.

1.

Klicken Sie auf Start und dann auf Suchen.

2.

Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner.

3.

Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen.

4.

Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften.

Hinweis: Je nach der Edition des Betriebssystems oder den Programmen, die auf Ihrem System installiert sind, sind u. U. einige der in der Dateiinformationstabelle aufgeführten Dateien nicht installiert.

5.

Ermitteln Sie mithilfe der Registerkarte Version die Version der Datei, die auf Ihrem Computer installiert ist, indem Sie diese mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle aufgeführt wird.

Hinweis: Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

Überprüfung des Registrierungsschlüssels

Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des Registrierungsschlüssels in der Referenztabelle in diesem Abschnitt überprüfen.

Diese Registrierungsschlüssel enthalten möglicherweise keine vollständige Liste der installierten Dateien. Zudem werden die Registrierungsschlüssel möglicherweise nicht einwandfrei erstellt, wenn ein Administrator oder OEM dieses Sicherheitsupdate in die Windows-Installationsquelldateien integriert oder einbindet.

Top of sectionTop of section
Top of sectionTop of section

Windows Server 2003 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Aufnahme in zukünftige Service Packs:

Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.

Bereitstellung

 

Installieren ohne Benutzereingriff

Alle unterstützten 32-Bit-Editionen, x64-Editionen und Itanium-basierten Editionen von Windows Server 2003:
Windowsserver2003-kb926122-x86-enu /quiet

Installieren ohne neu zu starten

Alle unterstützten 32-Bit-Editionen, x64-Editionen und Itanium-basierten Editionen von Windows Server 2003:
Windowsserver2003-kb926122-x86-enu /norestart

Protokolldatei aktualisieren

KB926122.log

Weitere Informationen

Siehe den Unterabschnitt Tools und Anleitungen zur Erkennung und Bereitstellung

Neustartanforderung

 

Neustart erforderlich

Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.

HotPatching

Dieses Sicherheitsupdate unterstützt kein HotPatching. Weitere Informationen zum HotPatching finden Sie im Microsoft Knowledge Base-Artikel 897341.

Informationen zur Deinstallation

Alle unterstützten 32-Bit-Editionen, x64-Editionen und Itanium-basierten Editionen von Windows Server 2003:
Verwenden Sie das Tool „Software“ in der Systemsteuerung oder das Dienstprogramm Spuninst.exe im Ordner %Windir%\$NTUninstallKB926122$\Spuninst

Dateiinformationen

Die vollständige Dateiaufstellung finden Sie im Unterabschnitt Dateiinformationen in diesem Abschnitt.

Überprüfung des Registrierungsschlüssels

Alle unterstützten 32-Bit-Editionen, x64-Editionen und Itanium-basierten Editionen von Windows Server 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB926122\Filelist

Dateiinformationen

Die englische Version dieses Sicherheitsupdates besitzt die Dateiattribute, die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools „Datum und Uhrzeit“ in der Systemsteuerung.

Für alle unterstützten 32-Bit-Editionen von Windows Server 2003:

DateinameVersionDatumUhrzeitGrößeOrdner

ntdsa.dll

5.2.3790.2926

29-Apr-2007

17:49

1.515.520

SP1GDR

ntdsa.dll

5.2.3790.2926

29-Apr-2007

17:59

1.521.664

SP1QFE

w03a2409.dll

5.2.3790.2926

26-Apr-2007

22:22

27.648

SP1QFE

ntdsa.dll

5.2.3790.4070

29-Apr-2007

18:04

1.522.176

SP2GDR

ntdsa.dll

5.2.3790.4070

29-Apr-2007

17:53

1.522.176

SP2QFE

w03a2409.dll

5.2.3790.4070

27-Apr-2007

04:04

453.632

SP2QFE

Für alle unterstützten x64-Editionen von Windows Server 2003:

DateinameVersionDatumUhrzeitGrößeCPUOrdner

ntdsa.dll

5.2.3790.2926

29-Apr-2007

19:02

2.946.560

X64

SP1GDR

Wntdsa.dll

5.2.3790.2926

29-Apr-2007

19:02

1.515.520

X86

SP1GDR\wow

ntdsa.dll

5.2.3790.2926

29-Apr-2007

19:02

2.964.992

X64

SP1QFE

w03a2409.dll

5.2.3790.2926

29-Apr-2007

19:02

28.160

X64

SP1QFE

Wntdsa.dll

5.2.3790.2926

29-Apr-2007

19:02

1.521.664

X86

SP1QFE\wow

ww03a2409.dll

5.2.3790.2926

29-Apr-2007

19:02

27.648

X86

SP1QFE\wow

ntdsa.dll

5.2.3790.4070

29-Apr-2007

19:04

2.966.528

X64

SP2GDR

Wntdsa.dll

5.2.3790.4070

29-Apr-2007

19:04

1.522.176

X86

SP2GDR\wow

ntdsa.dll

5.2.3790.4070

29-Apr-2007

18:59

2.966.528

X64

SP2QFE

w03a2409.dll

5.2.3790.4070

29-Apr-2007

18:59

454.144

X64

SP2QFE

Wntdsa.dll

5.2.3790.4070

29-Apr-2007

18:59

1.522.176

X86

SP2QFE\wow

ww03a2409.dll

5.2.3790.4070

29-Apr-2007

18:59

453.632

X86

SP2QFE\wow

Für alle unterstützten Itanium-basierten Editionen von Windows Server 2003:

DateinameVersionDatumUhrzeitGrößeCPUOrdner

ntdsa.dll

5.2.3790.2926

29-Apr-2007

18:58

4.237.312

IA-64

SP1GDR

Wntdsa.dll

5.2.3790.2926

29-Apr-2007

18:58

1.515.520

X86

SP1GDR\wow

ntdsa.dll

5.2.3790.2926

29-Apr-2007

18:59

4.250.624

IA-64

SP1QFE

w03a2409.dll

5.2.3790.2926

29-Apr-2007

18:59

26.624

IA-64

SP1QFE

Wntdsa.dll

5.2.3790.2926

29-Apr-2007

18:59

1.521.664

X86

SP1QFE\wow

ww03a2409.dll

5.2.3790.2926

29-Apr-2007

18:59

27.648

X86

SP1QFE\wow

ntdsa.dll

5.2.3790.4070

29-Apr-2007

19:03

4.253.696

IA-64

SP2GDR

Wntdsa.dll

5.2.3790.4070

29-Apr-2007

19:03

1.522.176

X86

SP2GDR\wow

ntdsa.dll

5.2.3790.4070

29-Apr-2007

18:59

4.253.696

IA-64

SP2QFE

w03a2409.dll

5.2.3790.4070

29-Apr-2007

18:59

452.608

IA-64

SP2QFE

Wntdsa.dll

5.2.3790.4070

29-Apr-2007

18:59

1.522.176

X86

SP2QFE\wow

ww03a2409.dll

5.2.3790.4070

29-Apr-2007

18:59

453.632

X86

SP2QFE\wow

Hinweis: Eine vollständige Liste unterstützter Versionen und Editionen finden Sie im Supportlebenszyklus-Index. Eine vollständige Liste von Service Packs finden Sie unter Lifecycle Supported Service Packs. Weitere Informationen zur Supportlebenszyklus-Richtlinie finden Sie unter Microsoft Supportlebenszyklus.

Top of sectionTop of section
Informationen zur Bereitstellung

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden.

Wenn Sie kürzlich einen Hotfix installiert haben, um eine dieser Dateien zu aktualisieren, dann kopiert das Installationsprogramm die RTMQFE-, SP1QFE bzw. SP2QFE-Dateien auf Ihr System. Andernfalls kopiert das Installationsprogramm die Dateien RTMGDR, SP1GDR oder SP2GDR auf Ihr System. Möglicherweise enthalten die Sicherheitsupdates nicht alle Varianten dieser Dateien. Weitere Informationen hierzu finden Sie im Microsoft Knowledge Base-Artikel 824994.

Weitere Informationen zum Installationsprogramm finden Sie auf der Microsoft TechNet Website.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
OptionBeschreibung

/help

Zeigt die Befehlszeilenoptionen an.

Installationsmodi 

/passive

Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.

/quiet

Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.

Neustartoptionen 

/norestart

Kein Neustart nach Abschluss der Installation

/forcerestart

Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.

/warnrestart[:x]

Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.

/promptrestart

Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.

Besondere Optionen 

/overwriteoem

Überschreibt OEM-Dateien ohne Bestätigung.

/nobackup

Erstellt keine Sicherungskopien der Dateien für die Deinstallation.

/forceappsclose

Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.

/log:path

Speichert die Installationsprotokolldateien im angegebenen Pfad.

/integrate:path

Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Installationsoption angegeben ist.

/extract[:path]

Extrahiert Dateien, ohne das Setup-Programm zu starten.

/ER

Aktiviert erweiterte Fehlerberichterstattung.

/verbose

Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch zahlreiche Installationsoptionen, die von der früheren Version des Installationsprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Entfernen des Updates

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für Spuninst.exe
OptionBeschreibung

/help

Zeigt die Befehlszeilenoptionen an.

Installationsmodi 

/passive

Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.

/quiet

Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.

Neustartoptionen 

/norestart

Kein Neustart nach Abschluss der Installation

/forcerestart

Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.

/warnrestart[:x]

Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.

/promptrestart

Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.

Besondere Optionen 

/forceappsclose

Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.

/log:path

Speichert die Installationsprotokolldateien im angegebenen Pfad.

Überprüfen der Updateinstallation

Microsoft Baseline Security Analyzer

Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie im Abschnitt „Tools und Anleitungen zur Erkennung und Bereitstellung“ in diesem Bulletin.

Überprüfung der Dateiversion

Da mehrere Editionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen.

1.

Klicken Sie auf Start und dann auf Suchen.

2.

Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner.

3.

Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen.

4.

Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften.

Hinweis: Je nach der Edition des Betriebssystems oder den Programmen, die auf Ihrem System installiert sind, sind u. U. einige der in der Dateiinformationstabelle aufgeführten Dateien nicht installiert.

5.

Ermitteln Sie mithilfe der Registerkarte Version die Version der Datei, die auf Ihrem Computer installiert ist, indem Sie diese mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle aufgeführt wird.

Hinweis: Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

Überprüfung des Registrierungsschlüssels

Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des Registrierungsschlüssels in der Referenztabelle in diesem Abschnitt überprüfen.

Diese Registrierungsschlüssel enthalten möglicherweise keine vollständige Liste der installierten Dateien. Zudem werden die Registrierungsschlüssel möglicherweise nicht einwandfrei erstellt, wenn ein Administrator oder OEM dieses Sicherheitsupdate in die Windows-Installationsquelldateien integriert oder einbindet.

Top of sectionTop of section
Top of sectionTop of section
Top of sectionTop of section

Weitere Informationen:

Danksagungen

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

Peter Winter-Smith von NGSSoftware für den Hinweis auf die Sicherheitsanfälligkeit in Windows Active Directory bezüglich Denial-of-Service - CVE-2007-3028.

Neel Mehta von IBM Internet Security Systems x-Force für den Hinweis auf die Sicherheitsanfälligkeit in Windows Active Directory bezüglich Remotecodeausführung - CVE-2007-0040.

Top of sectionTop of section

Support

Technischer Support ist über die Microsoft Support Services erhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos.

Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Supportanfragen zu Sicherheitsupdates sind kostenlos. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der International Support-Website.

Top of sectionTop of section

Haftungsausschluss

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Top of sectionTop of section

Revisionen

V1.0 (10. Juli 2007): Bulletin veröffentlicht.

V1.1 (12. Juli 2007): Bulletin wurde überarbeitet: Aktualisierung des Bulletins, um den Abschnitt „Häufig gestellte Fragen (FAQs)“ für ADAM-Abhängigkeiten hinzuzufügen und die Bereitstellung für alle 2000- und 2003-Systeme zu erklären.

Top of sectionTop of section

Zum SeitenanfangZum Seitenanfang