Microsoft Security Bulletin MS08-062 – Hoch

Weshalb wurde dieses Security Bulletin am 29. Oktober 2008 überarbeitet?  
Microsoft hat dieses Bulletin überarbeitet, um Benutzer davon in Kenntnis zu setzen, dass die Updatepakete für Windows Server 2008 für Itanium-basierte Systeme und alle unterstützten Editionen von Windows Vista jetzt auf Windows-Update, Microsoft Update, Windows Software Update Services (WSUS), Systems Management Server und System Center Configuration Manager zur Verfügung gestellt wurden. Als dieses Bulletin zuerst veröffentlicht wurde, waren die Updates für diese Plattformen nur auf dem Microsoft Download Center verfügbar.

Weshalb wurde dieses Security Bulletin am 16. Oktober 2008 überarbeitet?
Microsoft hat dieses Bulletin überarbeitet, um zu erklären, dass der Windows-Internetdruckdienst unter Systemberechtigungen im Kontext des Druckwarteschlangendiensts ausgeführt wird. Ein Angreifer, der die in diesem Security Bulletin beschriebene Sicherheitsanfälligkeit erfolgreich ausnutzt, kann unter Systemberechtigungen beliebigen Code ausführen und vollständige Kontrolle über das betroffene System erlangen.

Weshalb wurde dieses Security Bulletin am 15. Oktober 2008 überarbeitet?
Microsoft hat dieses Bulletin überarbeitet, um die Bewertung des Schweregrads für Windows Server 2008 für Itanium-basierte Systeme zu entfernen. Außerdem hat Microsoft dieses Bulletin aktualisiert, um zu erklären, dass das Update für Windows Server 2008 für Itanium-basierte Systeme über das Microsoft Download Center erhältlich ist und so bald wie möglich durch die anderen Vertriebswege veröffentlicht wird.

Weshalb sind Windows Server 2008 für Itanium-basierte Systeme und Windows Vista in der Tabelle „Betroffene Software“ aufgeführt, wenn sie keine Bewertung des Schweregrads aufweisen?
Windows Server 2008 für Itanium-basierte Systeme und alle unterstützten Editionen von Windows Vista enthalten die freigegebene Druckwarteschlangenkomponente, die durch dieses Sicherheitsupdate aktualisiert wird. Da Internetdrucken unter Windows Server 2008 für Itanium-basierte Systeme oder Windows Vista jedoch nicht unterstützt wird, ist die in diesem Security Bulletin beschriebene Sicherheitsanfälligkeit nicht ausnutzbar. Als Tiefenverteidigungsmaßnahme zum Schutz vor möglicherweise in der Zukunft entdeckten Sicherheitsanfälligkeiten werden Benutzer von Windows Server 2008 für Itanium-basierte Systeme und Windows Vista aufgefordert, das Sicherheitsupdate zu installieren.

Wo befinden sich die Dateiinformationen?  
Die Dateiinformationen befinden sich im Microsoft Knowledge Base-Artikel 953155.

Ich führe eine der Plattformen aus, die in der Tabelle der betroffenen Software aufgeführt sind. Warum wird mir dieses Sicherheitsupdate nicht angeboten?
Das Update wird nur Systemen angeboten, auf denen die betroffene Komponente installiert ist. Microsoft Windows 2000- und Windows XP-Systeme, auf denen Microsoft Internet Information Services (IIS) nicht installiert ist, sind nicht betroffen und erhalten dieses Update nicht. Windows Server 2003- und Windows Server 2008-Systeme, auf denen weder IIS noch Internetdrucken installiert ist, sind nicht betroffen und werden dieses Update nicht erhalten.

Ich verwende eine ältere Version der in diesem Security Bulletin beschriebenen Software. Was soll ich tun?  
Die in diesem Bulletin aufgeführte betroffene Software wurde daraufhin getestet, welche einzelnen Versionen betroffen sind. Andere Versionen haben das Ende ihrer Supportlebenszyklen erreicht. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion zu ermitteln.

Benutzer älterer Versionen dieser Software sollten möglichst bald zu Versionen migrieren, für die Support angeboten wird, um sich vor künftigen Sicherheitsanfälligkeiten zu schützen. Weitere Informationen zu den Windows-Produktzyklen finden Sie auf der Website Microsoft Support Lifecycle. Weitere Informationen zur erweiterten Unterstützung durch Sicherheitsupdates für diese Softwareversionen oder Editionen finden Sie auf der Website Microsoft Support Services.

Benutzer, die zusätzlichen Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kundenbetreuer, ihren Technical Account Manager oder den jeweiligen Microsoft-Partner wenden, um Supportangebote in Anspruch nehmen zu können. Kunden, die nicht über einen Alliance-, Premier- oder Authorized-Vertrag verfügen, können sich mit der regionalen Microsoft-Vertriebsniederlassung in Verbindung setzen. Kontaktinformationen finden Sie auf der Website Microsoft Worldwide. Wählen Sie Ihr Land aus, und klicken Sie auf Go. Es wird eine Telefonnummer für Ihr Land angezeigt. Wenn Sie unter der angegebenen Nummer anrufen, fragen Sie bitte nach dem regionalen Vertriebsmanager für Premier Support. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum Supportlebenszyklus für Windows.

*Die Server Core-Installation von Windows Server 2008 ist betroffen. Für unterstützte Editionen von Windows Server 2008 gilt dieses Update mit der gleichen Bewertung des Schweregrads. Dabei spielt es keine Rolle, ob Windows Server 2008 mit der Server Core-Installationsoption installiert wurde oder nicht. Weitere Informationen zu dieser Installationsoption finden Sie unter Server Core. Beachten Sie, dass die Server Core-Installationsoption für bestimmte Editionen von Windows Server 2008 nicht gilt; siehe dazu Vergleichen von Server Core-Installationsoptionen.

Auf Windows-Systemen, auf denen Microsoft Internet Information Services (IIS) ausgeführt wird und der Internetdruckdienst aktiviert ist, liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor. Dieses Problem kann einem authentifizierten Remoteangreifer ermöglichen, beliebigen Code auf einem betroffenen System auszuführen.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2008-1446.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

•	IPP (Internet Printing-Protokoll) ist in IIS für Microsoft Windows 2000 und Windows XP standardmäßig aktiviert. Die standardmäßigen Dateiberechtigungen werden jedoch alle Plattformen übergreifend festgelegt, damit IPP nur Benutzern der Gruppe „Authentifiziert“ zugänglich ist. Aufgrund dieser Einschränkung verfügen nicht authentifizierte Benutzer standardmäßig nicht über die erforderlichen Ordnerberechtigungen, um diese Sicherheitsanfälligkeit von einem Remotestandort aus auszunutzen.
•	Installationen von IIS unter Windows Server 2003 sind in ihrer Standardkonfiguration nicht anfällig. Es sind lediglich Installationen von Windows Server 2003 anfällig, bei denen der ISAPI-Filter für das Internet Printing-Protokoll innerhalb von IIS aktiviert ist. Sowohl die Internetdrucken- als auch die Active Server Pages-Komponenten sind erforderlich, um webbasierte Druckerverwaltung und Internetdrucken zu aktivieren. Wenn die Active Server Pages-Komponente auf „Zugelassen“ und die Internetdrucken-Komponente auf „Nicht zugelassen“ gesetzt ist, ist nur die webbasierte Druckerverwaltung aktiviert. Benutzer können über Internetdrucken keine Verbindung zu freigegebenen Druckern herstellen.
•	Installationen von IIS unter Windows Server 2008 sind standardmäßig nicht betroffen. Ein Computer, auf dem Windows Server 2008 ausgeführt wird, kann als Clientcomputer agieren, auf dem Internetdrucken verwendet wird. Benutzer des Computers, die Druckanforderungen ausgeben, müssen jedoch vom Druckserver authentifiziert werden, bevor sie einen der Drucker verwenden können, die mit jenem Server verbunden sind. Um einen Computer, auf dem Windows Server 2008 ausgeführt wird, als Server zu aktivieren, der Internetdrucken unterstützt, müssen Sie die Webserver-Rolle (IIS), die Druckdienste-Rolle und den Internetdruck-Rollendienst in der Druckdienste-Rolle installieren.
•	Um diese Sicherheitsanfälligkeit ausnutzen zu können, muss der IIS-Server an Port 445 in ausgehender Richtung mit einem schädlichen Computer kommunizieren. Administratoren, die von ihrem IIS-Server ins Internet ausgehende SMB-Verbindungen blockieren, können verhindern, dass diese Sicherheitsanfälligkeit von nicht vertrauenswürdigen Systemen ausgenutzt wird.

Top of section

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

•

Deaktivieren des IPP-Diensts So deaktivieren Sie den IPP-Dienst in IIS 5.0 und IIS 5.1: 1. Öffnen Sie Internetdienste-Manager. 2. Klicken Sie mit der rechten Maustaste auf die Standardwebsite und dann auf Eigenschaften. 3. Klicken Sie auf die Registerkarte Basisverzeichnis und dann auf Konfiguration. 4. Führen einen Bildlauf durch, um nach der Erweiterung .printer und dem entsprechenden Pfad zu der Datei msw3prt.dll zu suchen. 5. Klicken Sie auf Entfernen. 6. Klicken Sie auf OK. 7. Starten Sie den IIS-Dienst neu. Hinweis: Internetdrucken kann sowohl über Gruppenrichtlinien als auch über den Internetdienst-Manager konfiguriert werden. Wenn es einen Konflikt zwischen den Gruppenrichtlinieneinstellungen und jenen im Internetdienste-Manager gibt, haben die Gruppenrichtlinieneinstellungen Vorrang. Wenn Sie Internetdrucken über den Internetdienste-Manager entfernen, müssen Sie überprüfen, ob die Funktion nicht von lokalen bzw. Domänengruppenrichtlinien wieder aktiviert werden kann. (Mit der Standardgruppenrichtlinie wird Internetdrucken weder aktiviert noch deaktiviert.) Überprüfen Sie im MMC-Gruppenrichtlinien-Snap-In „Computerkonfiguration“ | „Administrative Vorlagen“ | „Drucken“ | „Webbasierte Druckausgabe“. So deaktivieren Sie den IPP-Dienst in IIS 6.0: 1. Starten Sie IIS-Manager oder das IIS-Snap-In. 2. Erweitern Sie * server_name, wobei „server_name“ für den Namen des Servers steht. 3. Klicken Sie auf Webdiensterweiterungen. 4. Klicken Sie im rechten Fensterbereich auf Internetdrucken und dann auf Nicht zugelassen. 5. Beenden Sie IIS-Manager. So deaktivieren Sie den IPP-Dienst in IIS 7.0 unter Windows Server 2008: 1. Wenn Server Manager nicht ausgeführt wird, klicken Sie auf Start, dann auf Verwaltung und anschließend auf Server Manager. (Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass die anzeigte Aktion die gewünschte ist, und klicken Sie dann auf Weiter.) 2. Erweitern Sie den Knoten „Rollen“, klicken Sie mit der rechten Maustaste auf Druckdienste und dann auf Rollendienste entfernen. 3. Der Assistent „Rollendienste entfernen“ wird angezeigt. Wenn die Option Internetdrucken aktiviert ist, deaktivieren Sie das Kontrollkästchen. Klicken Sie auf Weiter und dann auf Entfernen, um den Assistenten abzuschließen. Auswirkung der Problemumgehung: Benutzer können über Internetdrucken keine Verbindung zu freigegebenen Druckern herstellen. So machen Sie die Problemumgehung rückgängig: So aktivieren Sie den IPP-Dienst in IIS 5.0 und IIS 5.1: 1. Öffnen Sie Internetdienste-Manager. 2. Klicken Sie mit der rechten Maustaste auf die Standardwebsite und dann auf Eigenschaften. 3. Klicken Sie auf die Registerkarte Basisverzeichnis und dann auf Konfiguration. 4. Führen einen Bildlauf durch, um nach der Erweiterung .printer und dem entsprechenden Pfad zu der Datei msw3prt.dll zu suchen. 5. Klicken Sie auf Hinzufügen. 6. Geben Sie in das Feld Ausführbare Datei Folgendes ein: %systemroot%\system32\msw3prt.dll 7. Geben Sie in das Feld Erweiterung Folgendes ein: .printer 8. Geben Sie in das Feld Beschränkung Folgendes ein: GET,POST 9. Sobald dies abgeschlossen ist, starten Sie den IIS-Dienst neu. So aktivieren Sie den IPP-Dienst in IIS 6.0: 1. Starten Sie IIS-Manager oder das IIS-Snap-In. 2. Erweitern Sie * server_name, wobei „server_name“ für den Namen des Servers steht. 3. Klicken Sie auf Webdiensterweiterungen. 4. Klicken Sie im rechten Fensterbereich auf Internetdrucken und dann auf Zugelassen. 5. Beenden Sie IIS-Manager. So aktivieren Sie den IPP-Dienst in IIS 7.0: 1. Wenn Server Manager nicht ausgeführt wird, klicken Sie auf Start, dann auf Verwaltung und anschließend auf Server Manager. (Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass die anzeigte Aktion die gewünschte ist, und klicken Sie dann auf Weiter.) 2. Erweitern Sie den Knoten „Rollen“, klicken Sie mit der rechten Maustaste auf Druckdienste und dann auf Rollendienste hinzufügen. 3. Der Assistent zum Hinzufügen von Rollendiensten wird angezeigt. Prüfen Sie die Option Internetdrucken, klicken Sie auf Weiter und dann auf Installieren, um den Assistenten abzuschließen.

•

Ausführen des IIS Lockdown Tool 2.1 Unter Microsoft Windows 2000 mit IIS 5.0 und Windows XP mit IIS 5.1 können mit dem IIS-Lockdown-Assistenten Version 2.1 unnötige Funktionen deaktiviert werden, einschließlich Internetdrucken. Führen Sie folgende Aktionen durch, um diesen Assistenten auszuführen: 1. Laden Sie das IIS Lockdown Tool 2.1 hier herunter. 2. Führen Sie einen der folgenden Schritte aus: Um die Installation sofort zu starten, klicken Sie auf Öffnen oder Das Programm von diesem Ort ausführen. Um den Download zur späteren Installation auf Ihren Computer zu kopieren, klicken Sie auf Speichern oder Das Programm speichern. Auswirkung der Problemumgehung: Benutzer können über Internetdrucken keine Verbindung zu freigegebenen Druckern herstellen. Außerdem können Benutzer des IIS-Sperrprogramms über Internetdrucken keine Verbindung zu freigegebenen Druckern herstellen. Eine vollständige Liste der Änderungen, die vom IIS-Sperrprogramm vorgenommen werden, finden Sie im folgenden MSDN-Artikel. So machen Sie die Problemumgehung rückgängig: Um die vom IIS-Sperrprogramm vorgenommenen Änderungen rückgängig zu machen, führen Sie IISlockd.exe ein zweites Mal aus, und wählen Sie die Option zum Rückgängigmachen der Änderungen. Beim Vorgang „Rückgängig“ werden die Systemeinstellungen wieder hergestellt, die unmittelbar vor der Ausführung des IIS-Sperrprogramms in Kraft waren. Diese Details sind in der Protokolldatei „WINNT\System32\inetsrv\0blt-log“ enthalten. Darum ist es wichtig, das System unverzüglich zu testen, nachdem das IIS-Sperrprogramm ausgeführt wurde. Wenn der Vorgang „Rückgängig“ erforderlich ist, führen Sie ihn sofort durch. Hinweis: Der ISAPI-Filter „URLScan“, der als Teil des IIS-Sperrprogramms installiert ist, wird beim Vorgang „Rückgängig“ nicht entfernt. Sie können „URLScan“ manuell mithilfe der Registerkarte „ISAPI-Filter“ auf der Serverebene in „Internetdienste-Manager“ entfernen.

Top of section

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Berechtigungen erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Die IPP-Funktion (Internet Printing-Protokoll) wird als ISAPI-Erweiterung für IIS implementiert. In der Microsoft-Implementierung von IPP auf Windows-Servern, auf denen IIS ausgeführt wird, liegt eine Sicherheitsanfälligkeit bezüglich authentifizierter Remotecodeausführung vor. In der IPP-Implementierung liegt ein Ganzzahlüberlauf vor, die einem authentifizierten Angreifer Remotecodeausführung auf betroffenen IIS-Servern ermöglichen kann.

Was ist ISAPI?
ISAPI (Internet Services Application Programming Interface) ist eine Technologie, mit der Webentwickler die Funktionalität ihrer Webserver erweitern können. Dazu wird benutzerdefinierter Code geschrieben, mit dem neue Dienste für einen Webserver bereitgestellt werden. Der benutzerdefinierte Code kann entweder in einem ISAPI-Filter implementiert werden, wenn die neue Funktion einen untergeordneten Dienst bereitstellt, oder in einer ISAPI-Erweiterung, wenn die neue Funktion einen grundlegenden Dienst bereitstellt. In diesem Fall ist der betroffene Code eine ISAPI-Erweiterung.

Was ist die strittige ISAPI-Erweiterung?
Bei der betroffen ISAPI-Erweiterung handelt es sich um eine, die das IPP (Internet Printing-Protokoll) implementiert, einen Branchenstandard, der in den RFCs 2910 und 2911 definiert ist. IPP bietet eine Möglichkeit, Druckdienste anzufordern und den Status der Druckaufgaben im Internet über HTTP in Erfahrung zu bringen. Mithilfe von IPP kann ein reisender Benutzer z. B. eine Druckaufgabe über das Internet senden, damit diese auf einem Drucker in dem Netzwerk seines Unternehmens gedruckt wird. Der Benutzer kann außerdem herausfinden, ob die Druckanforderung ohne Fehler abgeschlossen wurde.

Mit Microsoft Windows 2000 wurde systemeigene Unterstützung für das Internetdrucken eingeführt. Mit der Microsoft Windows 2000-Implementierung können Benutzer direkt an eine URL drucken und über ihre Browser Informationen zu Druckaufgaben anzeigen. Die Unterstützung für das Internetdrucken ist in Microsoft Windows 2000 Server-Versionen standardmäßig aktiviert. Es kann auch als optionale Komponente unter Microsoft Windows 2000 Professional, Windows XP, Windows Server 2003 und Windows Server 2008 installiert werden.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann auf dem System eines Benutzers beliebigen Code mit Systemberechtigungen ausführen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Berechtigungen erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann eine speziell gestaltete HTTP POST-Anforderung an einen betroffenen Webserver senden, die bewirkt, dass der Server mithilfe von IPP eine Verbindung zu einem Computer herstellt, der vom Angreifer kontrolliert wird. Der Angreifer kann dann mit speziell gestalteten Antworten remote Code auf dem Zielserver ausführen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Arbeitsstationen und Server, auf denen IIS ausgeführt wird und der IPP-Dienst (Internet Printing-Protokoll) aktiviert ist, sind hauptsächlich durch diese Sicherheitsanfälligkeit gefährdet.

Was bewirkt das Update?  
Dieses Sicherheitsupdate behebt diese Sicherheitsanfälligkeit, indem die innerhalb des IPP-Diensts (Internet Printing-Protokoll) von Remotecomputern aus dem Internet erhaltenen Daten überprüft werden.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich bekannt war.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Ja, Microsoft ist sich gezielter Angriffe bewusst, bei denen versucht wird, die Sicherheitsanfälligkeit auszunutzen. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen über Codebeispiele für ein Angriffskonzept vor.

Top of section

Verwalten Sie die Software und die Sicherheitsupdates, die Sie den Servern, Desktops und mobilen Computern in Ihrer Organisation bereitstellen müssen. Weitere Informationen finden Sie im TechNet Update Management Center. Die Website TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.

Sicherheitsupdates sind auch über Microsoft Update, Windows Update und Office Update verfügbar. Sicherheitsupdates sind auch im Microsoft Download Center verfügbar und können am einfachsten durch eine Suche nach dem Begriff „security update“ ermittelt werden.

Außerdem können Sicherheitsupdates vom Windows Update-Katalog heruntergeladen werden. Der Microsoft Update-Katalog stellt einen durchsuchbaren Katalog der Inhalte bereit, die über Windows Update und Microsoft Update zur Verfügung gestellt werden, einschließlich Sicherheitsupdates, Treiber und Service Packs. Indem Sie mit der Nummer des Security Bulletins suchen (z. B. „MS07-036“), können Sie Ihrem Warenkorb alle anwendbaren Updates (einschließlich verschiedener Sprachen für ein Update) hinzufügen und in den Ordner Ihrer Wahl herunterladen. Weitere Informationen zum Microsoft Update-Katalog, finden Sie unter Häufig gestellte Fragen zum Microsoft Update-Katalog.

Anleitungen zur Erkennung und Bereitstellung

Zu den Sicherheitsupdates dieses Monats stellt Microsoft Anleitungen zur Erkennung und Bereitstellung zur Verfügung: Diese Anleitungen geben auch IT-Profis Informationen zum Einsatz der verschiedenen Tools und zur Bereitstellung des Sicherheitsupdates. Behandelt werden u. a. Windows Update, Microsoft Update, Office Update, Microsoft Baseline Security Analyzer (MBSA), Office Detection Tool, Microsoft Systems Management Server (SMS) und das Extended Security Update Inventory Tool. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 910723.

Microsoft Baseline Security Analyzer

Der Microsoft Baseline Security Analyzer (MBSA) ermöglicht Administratoren die Überprüfung von lokalen und Remotesystemen im Hinblick auf fehlende Sicherheitsupdates sowie auf häufig falsch konfigurierte Sicherheitsparameter. Weitere Informationen zu MBSA finden Sie auf der Website Microsoft Baseline Security Analyzer.

In der folgenden Tabelle ist die Zusammenfassung zur MBSA-Erkennung für dieses Sicherheitsupdate enthalten.

Weitere Informationen zu MBSA 2.1 finden Sie unter Häufig gestellte Fragen zu MBSA 2.1.

Windows Server Update Services

Mithilfe der Windows Server Update Services (WSUS) können Administratoren die neuesten kritischen Updates und Sicherheitsupdates für Microsoft Windows 2000 und neuere Betriebssysteme, für Office XP und höher, für Exchange Server 2003 und für SQL Server 2000 bereitstellen. Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mithilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website.

Systems Management Server

Die folgende Tabelle enthält eine Zusammenfassung zur SMS-Erkennung und -Bereitstellung für dieses Sicherheitsupdate.

Im Fall von SMS 2.0 und SMS 2003 kann das SMS SUS Feature Pack, das das Sicherheitsupdate-Inventurprogramm (SUIT) enthält, von SMS zum Auffinden von Sicherheitsupdates verwendet werden. Siehe auch Downloads für Systems Management Server 2.0.

Im Fall von SMS 2003 kann von SMS zum Auffinden von unter Microsoft Updates erhältlichen Sicherheitsupdates und Updates, die von Windows Server Update Services unterstützt werden, das SMS 2003-Inventurprogramm für Microsoft-Updates (ITMU) verwendet werden. Weitere Informationen zum SMS 2003-Inventurprogramm für Microsoft-Updates finden Sie auf der Website SMS 2003-Inventurprogramm für Microsoft Updates. SMS 2003 kann auch das Microsoft Office-Inventurprogramm zur Erkennung der für Microsoft Office-Anwendungen erforderlichen Updates verwenden. Weitere Informationen zum Office-Inventurprogramm und anderen Scanning Tools finden Sie unter SMS 2003 Software Update Scanning Tools. Siehe auch Downloads für Systems Management Server 2003.

System Center Configuration Manager (Configuration Manager) 2007 verwendet WSUS 3.0 für die Erkennung von Updates. Weitere Informationen zur Configuration Manager 2007-Softwareupdateverwaltung finden Sie auf der Website zu System Center Configuration Manager 2007.

Hinweis für Windows Vista und Windows Server 2008 Microsoft Systems Management Server 2003 mit Service Pack 3 enthält Unterstützung für Windows Vista und Windows Server 2008-Verwaltbarkeit.

Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 910723: Zusammenfassungsliste der monatlichen Anleitungen zur Erkennung und Bereitstellung.

Updatekompatibilitätsbewertung und Anwendungskompatibilitäts-Toolkit

Updates bearbeiten oft dieselben Dateien und Registrierungseinstellungen, die zum Ausführen Ihrer Anwendungen benötigt werden. Dies kann eine Inkompatibilität auslösen und die Bereitstellung von Sicherheitsupdates verzögern. Mit den Komponenten zur Updatekompatibilitätsbewertung, die im Anwendungskompatibilitäts-Toolkit 5.0 enthalten sind, können Sie die Vereinbarkeit von Windows-Updates mit installierten Anwendungen testen und überprüfen.

Das Anwendungskompatibilitäts-Toolkit (ACT) enthält alle notwendigen Tools und Dokumentationen, um die Anwendungskompatibilität zu prüfen und eventuelle Probleme zu beheben, bevor Microsoft Windows Vista, ein Windows-Update, ein Microsoft-Sicherheitsupdate oder eine neue Version von Windows Internet Explorer in Ihrer Umgebung bereitgestellt wird.

Betroffene Software

Um Informationen zum jeweiligen Sicherheitsupdate für Ihre betroffene Software zu erhalten, klicken Sie auf den entsprechenden Link:

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Aufnahme in zukünftige Service Packs:	Das Update für dieses Problem wird möglicherweise in zukünftigen Update-Rollups enthalten sein.
Bereitstellung:
Installieren ohne Benutzereingriff	Microsoft Windows 2000 Service Pack 4: Windows2000-kb953155-x86-enu /quiet
Installieren ohne neu zu starten	Microsoft Windows 2000 Service Pack 4: Windows2000-kb953155-x86-enu /norestart
Protokolldatei aktualisieren	Microsoft Windows 2000 Service Pack 4: kb953155.log
Weitere Informationen	Siehe den Unterabschnitt Tools und Anleitungen zur Erkennung und Bereitstellung
Neustartanforderung:
Neustart erforderlich?	Ja, Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben
HotPatching	Nicht anwendbar
Informationen zur Deinstallation:	Microsoft Windows 2000 Service Pack 4: Verwenden Sie die Option „Software“ in der Systemsteuerung oder das Dienstprogramm Spuninst.exe im Ordner %Windir%\$NTUninstallKB953155$Spuninst.
Dateiinformationen:	Siehe Microsoft Knowledge Base-Artikel 953155.
Überprüfung des Registrierungsschlüssels	Microsoft Windows Service Pack 4:  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB953155\Filelist

Informationen zur Bereitstellung

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden.

Wenn Sie kürzlich einen Hotfix installiert haben, um eine dieser Dateien zu aktualisieren, dann kopiert das Installationsprogramm die RTMQFE-, SP1QFE bzw. SP2QFE-Dateien auf Ihr System. Andernfalls kopiert das Installationsprogramm die Dateien RTMGDR, SP1GDR oder SP2GDR auf Ihr System. Möglicherweise enthalten die Sicherheitsupdates nicht alle Varianten dieser Dateien. Weitere Informationen hierzu finden Sie im Microsoft Knowledge Base-Artikel 824994.

Weitere Informationen zum Installationsprogramm finden Sie auf der Microsoft TechNet Website.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation.
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/overwriteoem	Überschreibt OEM-Dateien ohne Bestätigung.
/nobackup	Erstellt keine Sicherungskopien der Dateien für die Deinstallation.
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.
/extract[:Pfad]	Extrahiert Dateien, ohne das Setup-Programm zu starten.
/ER	Aktiviert erweiterte Fehlerberichterstattung.
/verbose	Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Installationsoptionen, die von der früheren Version des Installationsprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Entfernen des Updates

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für Spuninst.exe
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation.
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie im Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung in diesem Bulletin.

•

Überprüfung der Dateiversion Da mehrere Editionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen. 1. Klicken Sie auf Start und dann auf Suchen. 2. Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner. 3. Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen. 4. Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften. Hinweis: Je nach der Edition des Betriebssystems oder den Programmen, die auf Ihrem System installiert sind, sind u. U. einige der in der Dateiinformationstabelle aufgeführten Dateien nicht installiert. 5. Ermitteln Sie mithilfe der Registerkarte Version die Version der Datei, die auf Ihrem Computer installiert ist, indem Sie diese mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle aufgeführt wird. Hinweis: Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

•

Überprüfung des Registrierungsschlüssels Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des Registrierungsschlüssels in der Referenztabelle in diesem Abschnitt überprüfen. Diese Registrierungsschlüssel enthalten möglicherweise keine vollständige Liste der installierten Dateien. Zudem werden die Registrierungsschlüssel möglicherweise nicht einwandfrei erstellt, wenn ein Administrator oder OEM dieses Sicherheitsupdate in die Windows-Installationsquelldateien integriert oder einbindet.

Top of section

Top of section

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Aufnahme in zukünftige Service Packs:	Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Bereitstellung:
Installieren ohne Benutzereingriff	Windows XP Service Pack 2 und Windows XP Service Pack 3: Windowsxp-kb953155-x86-enu /quiet
	Windows XP Professional x64 Edition und Windows XP Professional x64 Edition Service Pack 2: WindowsServer2003.WindowsXP-kb953155-x64-enu /quiet
Installieren ohne neu zu starten	Windows XP Service Pack 2 und Windows XP Service Pack 3: Windowsxp-kb953155-x86-enu /norestart
	Windows XP Professional x64 Edition und Windows XP Professional x64 Edition Service Pack 2: WindowsServer2003.WindowsXP-kb953155-x64-enu /norestart
Protokolldatei aktualisieren	KB953155.log
Weitere Informationen	Siehe den Unterabschnitt Tools und Anleitungen zur Erkennung und Bereitstellung
Neustartanforderung:
Neustart erforderlich?	Ja, Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben
HotPatching	Nicht anwendbar
Informationen zur Deinstallation:	Verwenden Sie die Option Software in der Systemsteuerung oder das Dienstprogramm Spuninst.exe im Ordner %Windir%\$NTUninstallKB953155$\Spuninst.
Dateiinformationen:	Siehe Microsoft Knowledge Base-Artikel 953155.
Überprüfung des Registrierungsschlüssels	Für alle unterstützten 32-Bit-Editionen von Windows XP: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB953155\Filelist
	Für alle unterstützten x64-basierten Editionen von Windows XP: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP Version 2003\SP3\KB953155\Filelist

Hinweis: Für unterstützte Versionen von Windows XP Professional x64 Edition ist dieses Sicherheitsupdate identisch mit unterstützten Versionen des Sicherheitsupdates für Windows Server 2003 x64 Edition.

Informationen zur Bereitstellung

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden.

Wenn Sie kürzlich einen Hotfix installiert haben, um eine dieser Dateien zu aktualisieren, dann kopiert das Installationsprogramm die RTMQFE-, SP1QFE bzw. SP2QFE-Dateien auf Ihr System. Andernfalls kopiert das Installationsprogramm die Dateien RTMGDR, SP1GDR oder SP2GDR auf Ihr System. Möglicherweise enthalten die Sicherheitsupdates nicht alle Varianten dieser Dateien. Weitere Informationen hierzu finden Sie im Microsoft Knowledge Base-Artikel 824994.

Weitere Informationen zum Installationsprogramm finden Sie auf der Microsoft TechNet Website.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation.
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/overwriteoem	Überschreibt OEM-Dateien ohne Bestätigung.
/nobackup	Erstellt keine Sicherungskopien der Dateien für die Deinstallation.
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.
/integrate:Pfad	Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Installationsoption angegeben ist.
/extract[:Pfad]	Extrahiert Dateien, ohne das Setup-Programm zu starten.
/ER	Aktiviert erweiterte Fehlerberichterstattung.
/verbose	Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Installationsoptionen, die von der früheren Version des Installationsprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Entfernen des Updates

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für Spuninst.exe
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie im Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung in diesem Bulletin.

•

Überprüfung der Dateiversion Da mehrere Editionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen. 1. Klicken Sie auf Start und dann auf Suchen. 2. Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner. 3. Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen. 4. Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften. Hinweis: Je nach der Edition des Betriebssystems oder den Programmen, die auf Ihrem System installiert sind, sind u. U. einige der in der Dateiinformationstabelle aufgeführten Dateien nicht installiert. 5. Ermitteln Sie mithilfe der Registerkarte Version die Version der Datei, die auf Ihrem Computer installiert ist, indem Sie diese mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle aufgeführt wird. Hinweis: Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

•

Überprüfung des Registrierungsschlüssels Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des Registrierungsschlüssels in der Referenztabelle in diesem Abschnitt überprüfen. Diese Registrierungsschlüssel enthalten möglicherweise keine vollständige Liste der installierten Dateien. Zudem werden die Registrierungsschlüssel möglicherweise nicht einwandfrei erstellt, wenn ein Administrator oder OEM dieses Sicherheitsupdate in die Windows-Installationsquelldateien integriert oder einbindet.

Top of section

Top of section

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Aufnahme in zukünftige Service Packs:	Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Bereitstellung:
Installieren ohne Benutzereingriff	Für alle unterstützten 32-Bit-Editionen von Windows Server 2003: Windowsserver2003-kb953155-x86-enu /quiet
	Für alle unterstützten x64-basierten Editionen von Windows Server 2003: Windowsserver2003.WindowsXP-KB953155-x64-enu /quiet
	Für alle unterstützten Itanium-basierten Editionen von Windows Server 2003: Windowsserver2003-KB953155-ia64-enu /quiet
Installieren ohne neu zu starten	Für alle unterstützten 32-Bit-Editionen von Windows Server 2003: Windowsserver2003-kb953155-x86-enu /norestart
	Für alle unterstützten x64-basierten Editionen von Windows Server 2003: Windowsserver2003.WindowsXP-KB953155-x64-enu /norestart
	Für alle unterstützten Itanium-basierten Editionen von Windows Server 2003: Windowsserver2003-KB953155-ia64-enu /norestart
Protokolldatei aktualisieren	KB953155.log
Weitere Informationen	Siehe den Unterabschnitt Tools und Anleitungen zur Erkennung und Bereitstellung
Neustartanforderung:
Neustart erforderlich?	Ja, Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben. Hinweis: Bei Windows Server 2003 kann ein Systemneustart vermieden werden, indem der IIS-Dienst beendet, das Update installiert und dann der IIS-Dienst neu gestartet wird. Wenn der IIS-Dienst vor Installation des Updates nicht beendet wird, ist immer noch ein Systemneustart erforderlich.
HotPatching	Dieses Sicherheitsupdate unterstützt kein HotPatching. Weitere Informationen zum HotPatching finden Sie im Microsoft Knowledge Base-Artikel 897341.
Informationen zur Deinstallation:	Verwenden Sie die Option Software in der Systemsteuerung oder das Dienstprogramm Spuninst.exe im Ordner %Windir%\$NTUninstallKB953155$\Spuninst.
Dateiinformationen:	Siehe Microsoft Knowledge Base-Artikel 953155.
Überprüfung des Registrierungsschlüssels	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB953155\Filelist

Informationen zur Bereitstellung

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden.

Wenn Sie kürzlich einen Hotfix installiert haben, um eine dieser Dateien zu aktualisieren, dann kopiert das Installationsprogramm die RTMQFE-, SP1QFE bzw. SP2QFE-Dateien auf Ihr System. Andernfalls kopiert das Installationsprogramm die Dateien RTMGDR, SP1GDR oder SP2GDR auf Ihr System. Möglicherweise enthalten die Sicherheitsupdates nicht alle Varianten dieser Dateien. Weitere Informationen hierzu finden Sie im Microsoft Knowledge Base-Artikel 824994.

Weitere Informationen zum Installationsprogramm finden Sie auf der Microsoft TechNet Website.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation.
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/overwriteoem	Überschreibt OEM-Dateien ohne Bestätigung.
/nobackup	Erstellt keine Sicherungskopien der Dateien für die Deinstallation.
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.
/integrate:Pfad	Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Installationsoption angegeben ist.
/extract[:Pfad]	Extrahiert Dateien, ohne das Setup-Programm zu starten.
/ER	Aktiviert erweiterte Fehlerberichterstattung.
/verbose	Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch zahlreiche Installationsoptionen, die von der früheren Version des Installationsprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Entfernen des Updates

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für Spuninst.exe
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation.
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie im Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung in diesem Bulletin.

•

Überprüfung der Dateiversion Da mehrere Editionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen. 1. Klicken Sie auf Start und dann auf Suchen. 2. Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner. 3. Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen. 4. Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften. Hinweis: Je nach der Edition des Betriebssystems oder den Programmen, die auf Ihrem System installiert sind, sind u. U. einige der in der Dateiinformationstabelle aufgeführten Dateien nicht installiert. 5. Ermitteln Sie mithilfe der Registerkarte Version die Version der Datei, die auf Ihrem Computer installiert ist, indem Sie diese mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle aufgeführt wird. Hinweis: Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

•

Überprüfung des Registrierungsschlüssels Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des Registrierungsschlüssels in der Referenztabelle in diesem Abschnitt überprüfen. Diese Registrierungsschlüssel enthalten möglicherweise keine vollständige Liste der installierten Dateien. Zudem werden die Registrierungsschlüssel möglicherweise nicht einwandfrei erstellt, wenn ein Administrator oder OEM dieses Sicherheitsupdate in die Windows-Installationsquelldateien integriert oder einbindet.

Top of section

Top of section

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Aufnahme in zukünftige Service Packs:	Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Bereitstellung:
Installieren ohne Benutzereingriff	Für alle unterstützten 32-Bit-Editionen von Windows Vista: Windows6.0-KB953155-x86 /quiet Für alle unterstützten x64-basierten Editionen von Windows Vista: Windows6.0-KB953155-x64 /quiet
Installieren ohne neu zu starten	Für alle unterstützten 32-Bit-Editionen von Windows Vista: Windows6.0-KB953155-x86 /norestart /quiet Für alle unterstützten x64-basierten Editionen von Windows Vista: Windows6.0-KB953155-x64 /norestart /quiet
Weitere Informationen	Siehe den Unterabschnitt Tools und Anleitungen zur Erkennung und Bereitstellung
Neustartanforderung:
Neustart erforderlich?	Ja, Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.
HotPatching	Nicht relevant.
Informationen zur Deinstallation:	WUSA.exe unterstützt nicht die Deinstallation von Updates. Um ein Update zu deinstallieren, das von WUSA installiert wurde, klicken Sie auf Systemsteuerung und dann auf Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates anzeigen, und treffen Sie eine Auswahl in der Liste der Updates.
Dateiinformationen:	Siehe Microsoft Knowledge Base-Artikel 953155.
Überprüfung des Registrierungsschlüssels	Hinweis: Es ist kein Registrierungsschlüssel vorhanden, um die Anwesenheit dieses Updates zu belegen.

Informationen zur Bereitstellung

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/?, /h, /help	Hilfe zu unterstützten Optionen wird angezeigt.
/quiet	Anzeige von Status- oder Fehlermeldungen wird unterdrückt.
/norestart	Bei einer gemeinsamen Verwendung mit /quiet wird das System nach der Installation auch dann nicht neu gestartet, wenn ein Neustart erforderlich ist, um die Installation abzuschließen.

Hinweis: Weitere Informationen zum Installationsprogramm wusa.exe finden Sie im Microsoft Knowledge Base-Artikel 934307.

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie im Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung in diesem Bulletin.

•

Überprüfung der Dateiversion Da mehrere Editionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen. 1. Klicken Sie auf Start, und tragen Sie unter Suche starten den Namen einer Updatedatei ein. 2. Wenn die Datei unter Programme angezeigt wird, klicken Sie mit der rechten Maustaste auf den Dateinamen, und klicken Sie dann auf Eigenschaften. 3. Vergleichen Sie in der Registerkarte Allgemein die Dateigröße mit den im Knowledge Base-Artikel des Bulletins bereitgestellten Dateiinformationstabellen. 4. Sie können auch auf die Registerkarte Detail klicken und die Informationen, z. B. zur Dateiversion und zum Änderungsdatum, mit den vorher im Knowledge Base-Artikel des Bulletins bereitgestellten Dateiinformationstabellen vergleichen. 5. Außerdem können Sie auch auf die Registerkarte Vorherige Versionen klicken und die Dateiinformationen zur vorherigen Dateiversion mit den Dateiinformationen für die neue, bzw. aktualisierte, Dateiversion vergleichen.

Top of section

Top of section

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Aufnahme in zukünftige Service Packs:	Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Bereitstellung:
Installieren ohne Benutzereingriff	Für alle unterstützten 32-Bit-Editionen von Windows Server 2008: Windows6.0-KB953155-x86 /quiet Für alle unterstützten x64-basierten Editionen von Windows Server 2008: Windows6.0-KB953155-x64 /quiet Für alle unterstützten Itanium-basierten Editionen von Windows Server 2008: Windows6.0-KB953155-ia64 /quiet
Installieren ohne neu zu starten	Für alle unterstützten 32-Bit-Editionen von Windows Server 2008: Windows6.0-KB953155-x86 /norestart /quiet Für alle unterstützten x64-basierten Editionen von Windows Server 2008: Windows6.0-KB953155?-x64 /norestart /quiet Für alle unterstützten Itanium-basierten Editionen von Windows Server 2008: Windows6.0-KB953155-ia64 /norestart /quiet
Weitere Informationen	Siehe den Unterabschnitt Tools und Anleitungen zur Erkennung und Bereitstellung
Neustartanforderung:
Neustart erforderlich?	Ja, Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.
HotPatching	Nicht relevant.
Informationen zur Deinstallation:	WUSA.exe unterstützt nicht die Deinstallation von Updates. Um ein Update zu deinstallieren, das von WUSA installiert wurde, klicken Sie auf Systemsteuerung und dann auf Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates anzeigen, und treffen Sie eine Auswahl in der Liste der Updates.
Dateiinformationen:	Siehe Microsoft Knowledge Base-Artikel 953155.
Überprüfung des Registrierungsschlüssels	Hinweis: Es ist kein Registrierungsschlüssel vorhanden, um die Anwesenheit dieses Updates zu belegen.

Informationen zur Bereitstellung

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/?, /h, /help	Hilfe zu unterstützten Optionen wird angezeigt.
/quiet	Anzeige von Status- oder Fehlermeldungen wird unterdrückt.
/norestart	Bei einer gemeinsamen Verwendung mit /quiet wird das System nach der Installation auch dann nicht neu gestartet, wenn ein Neustart erforderlich ist, um die Installation abzuschließen.

Hinweis: Weitere Informationen zum Installationsprogramm wusa.exe finden Sie im Microsoft Knowledge Base-Artikel 934307.

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie im Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung in diesem Bulletin.

•

Überprüfung der Dateiversion Da mehrere Editionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen. 1. Klicken Sie auf Start, und tragen Sie unter Suche starten den Namen einer Updatedatei ein. 2. Wenn die Datei unter Programme angezeigt wird, klicken Sie mit der rechten Maustaste auf den Dateinamen, und klicken Sie dann auf Eigenschaften. 3. Vergleichen Sie in der Registerkarte Allgemein die Dateigröße mit den im Knowledge Base-Artikel des Bulletins bereitgestellten Dateiinformationstabellen. 4. Sie können auch auf die Registerkarte Detail klicken und die Informationen, z. B. zur Dateiversion und zum Änderungsdatum, mit den vorher im Knowledge Base-Artikel des Bulletins bereitgestellten Dateiinformationstabellen vergleichen. 5. Außerdem können Sie auch auf die Registerkarte Vorherige Versionen klicken und die Dateiinformationen zur vorherigen Dateiversion mit den Dateiinformationen für die neue, bzw. aktualisierte, Dateiversion vergleichen.

Top of section

Top of section