Microsoft Security Bulletin MS09-012 – Hoch: Sicherheitsanfälligkeiten in Windows können Erhöhung von Berechtigungen ermöglichen (959454)

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt vier öffentlich gemeldete Sicherheitsanfälligkeiten in Microsoft Windows. Die Sicherheitsanfälligkeiten können eine Erhöhung von Berechtigungen ermöglichen, wenn sich ein Angreifer beim System anmelden und anschließend eine speziell gestaltete Anwendung ausführen kann. Der Angreifer muss Code auf dem lokalen Computer ausführen können, um diese Sicherheitsanfälligkeit auszunutzen. Ein Angreifer, dem es gelingt, eine dieser Sicherheitsanfälligkeiten auszunutzen, kann vollständige Kontrolle über das betroffene System erlangen.

Dieses Sicherheitsupdates wurde für alle unterstützten Editionen von Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008 als Hoch eingestuft. Weitere Informationen finden Sie im Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten durch Korrigieren der Art und Weise, wie Microsoft Windows Tokens behandelt, die von Microsoft Distributed Transaction Coordinator (MSDTC) angefordert werden, und durch ordnungsgemäßes Isolieren von WMI-Providern und Prozessen, die unter den NetworkService- oder LocalService-Konten ausgeführt werden. Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ für den bestimmten Sicherheitsanfälligkeitseintrag im nächsten Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Mit diesem Sicherheitsupdate wird auch die Sicherheitsanfälligkeit behoben, die erstmals in der Microsoft-Sicherheitsempfehlung 951306 beschrieben wurde.

Empfehlung. Die Mehrheit der Benutzer hat die automatische Aktualisierung aktiviert und muss keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und für Installationen in Unternehmen bzw. für Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten, empfiehlt Microsoft, das Update so schnell wie möglich mit Updateverwaltungssoftware zu installieren bzw. mithilfe des Diensts Microsoft Update auf Updates zu prüfen.

Siehe auch den Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung weiter unten in diesem Bulletin.

Bekannte Probleme. Im Microsoft Knowledge Base-Artikel 959454 werden die derzeit bekannten Probleme dokumentiert, die durch die Installation dieses Sicherheitsupdates unter Umständen auftreten können. Im Artikel werden auch Lösungen für diese Probleme empfohlen.

Top of section

Betroffene und nicht betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Betroffene Software

Aktualisierung der MSDTC-Transaktionsfunktion	Aktualisierung der Windows-Dienstisolierung	Maximale Sicherheitsauswirkung	Bewertung des Gesamtschweregrads	Bulletins, die durch dieses Update ersetzt werden
Microsoft Windows 2000 Service Pack 4 (KB952004)	Nicht anwendbar	Erhöhung von Berechtigungen	Hoch	Keine
Windows XP Service Pack 2 und Windows XP Service Pack 3 (KB952004)	Siehe Zeile unten	Erhöhung von Berechtigungen	Hoch	Keine
Siehe Zeile oben	Windows XP Service Pack 2 (KB956572)	Erhöhung von Berechtigungen	Hoch	MS07-022, MS08-002, MS08-064
Siehe Zeile oben	Windows XP Service Pack 3 (KB956572)	Erhöhung von Berechtigungen	Hoch	MS08-064
Windows XP Professional x64 Edition und Windows XP Professional x64 Edition Service Pack 2 (KB952004)	Siehe Zeile unten	Erhöhung von Berechtigungen	Hoch	Keine
Siehe Zeile oben	Windows XP Professional x64 Edition und Windows XP Professional x64 Edition Service Pack 2 (KB956572)	Erhöhung von Berechtigungen	Hoch	MS08-002, MS08-064
Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2 (KB952004)	Siehe Zeile unten	Erhöhung von Berechtigungen	Hoch	Keine
Siehe Zeile oben	Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2 (KB956572)	Erhöhung von Berechtigungen	Hoch	MS07-022, MS08-002, MS08-064
Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition Service Pack 2 (KB952004)	Siehe Zeile unten	Erhöhung von Berechtigungen	Hoch	Keine
Siehe Zeile oben	Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition Service Pack 2 (KB956572)	Erhöhung von Berechtigungen	Hoch	MS08-002, MS08-064
Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte Systeme (KB952004)	Siehe Zeile unten	Erhöhung von Berechtigungen	Hoch	Keine
Siehe Zeile oben	Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte Systeme (KB956572)	Erhöhung von Berechtigungen	Hoch	MS08-002, MS08-064
Windows Vista und Windows Vista Service Pack 1 (KB952004)	Siehe Zeile unten	Erhöhung von Berechtigungen	Hoch	Keine
Siehe Zeile oben	Windows Vista und Windows Vista Service Pack 1 (KB956572)	Erhöhung von Berechtigungen	Hoch	MS08-064
Windows Vista x64 Edition und Windows Vista x64 Edition Service Pack 1 (KB952004)	Siehe Zeile unten	Erhöhung von Berechtigungen	Hoch	Keine
Siehe Zeile oben	Windows Vista x64 Edition und Windows Vista x64 Edition Service Pack 1 (KB956572)	Erhöhung von Berechtigungen	Hoch	MS08-064
Windows Server 2008 für 32-Bit-Systeme* (KB952004)	Siehe Zeile unten	Erhöhung von Berechtigungen	Hoch	Keine
Siehe Zeile oben	Windows Server 2008 für 32-Bit-Systeme* (KB956572)	Erhöhung von Berechtigungen	Hoch	MS08-064
Windows Server 2008 für x64-basierte Systeme* (KB952004)	Siehe Zeile unten	Erhöhung von Berechtigungen	Hoch	Keine
Siehe Zeile oben	Windows Server 2008 für x64-basierte Systeme* (KB956572)	Erhöhung von Berechtigungen	Hoch	MS08-064
Windows Server 2008 für Itanium-basierte Systeme (KB952004)	Siehe Zeile unten	Erhöhung von Berechtigungen	Hoch	Keine
Siehe Zeile oben	Windows Server 2008 für Itanium-basierte Systeme (KB956572)	Erhöhung von Berechtigungen	Hoch	MS08-064

*Die Server Core-Installation von Windows Server 2008 ist betroffen. Für unterstützte Editionen von Windows Server 2008 gilt dieses Update mit der gleichen Bewertung des Schweregrads. Dabei spielt es keine Rolle, ob Windows Server 2008 mit der Server Core-Installationsoption installiert wurde oder nicht. Weitere Informationen zu dieser Installationsoption finden Sie unter Server Core. Beachten Sie, dass die Server Core-Installationsoption für bestimmte Editionen von Windows Server 2008 nicht gilt; siehe dazu Vergleichen von Server Core-Installationsoptionen.

Top of section

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Warum wurde dieses Bulletin am 29. April 2009 überarbeitet?
Microsoft hat dieses Bulletin überarbeitet, um mitzuteilen, dass das Update in Norwegisch für Microsoft Windows 2000 Service Pack 4 (KB952004) erneut veröffentlicht wurde, um ein Qualitätsproblem zu beheben, das ein Fehlschlagen der Installation bewirken würde. Benutzer, die das Update in Norwegisch heruntergeladen und zu installieren versucht haben, müssen das erneut veröffentlichte Update herunterladen und installieren, um vor der Sicherheitsanfälligkeit geschützt zu sein, die in diesem Bulletin beschrieben wird. Von dieser erneuten Veröffentlichung sind keine weiteren Updates oder Gebietsschemata betroffen.

Warum wurde dieses Bulletin am 22. April 2009 überarbeitet?
Dieses Bulletin wurde überarbeitet, um mitzuteilen, dass der Abschnitt Bekannte Probleme mit diesem Sicherheitsupdate, auf den im zugehörigen Microsoft Knowledge Base-Artikel 959454 verwiesen wird, aktualisiert wurde, um ein Kompatibilitätsprobleme bei der Anwendung von diesem Update und Systemen zu beschreiben, auf denen Microsoft Internet Security and Acceleration (ISA) Server 2000 Standard Edition, Microsoft Internet Security and Acceleration (ISA) Server 2004 Standard Edition oder Microsoft Internet Security and Acceleration (ISA) Server 2006 Standard Edition ausgeführt werden.

Wo befinden sich die Dateiinformationen?
Die Dateiinformationen befinden sich im Microsoft Knowledge Base-Artikel 959454.

Welches sind die bekannten Probleme, die bei der Installation dieses Sicherheitsupdates auftreten können?
Im Microsoft Knowledge Base-Artikel 959454 werden die derzeit bekannten Probleme bei der Installation dieses Sicherheitsupdates beschrieben. Im Artikel werden auch Lösungen für diese Probleme empfohlen.

Weshalb enthält dieses Bulletin zwei Updates für jedes betroffene Betriebssystem?
Dieses Bulletin enthält zwei durch die KB-Nummer identifizierte Updates für alle betroffenen Betriebssysteme. Benutzer von Microsoft Windows 2000 müssen nur das Updatepaket KB952004 installieren. Benutzer, die andere betroffene Betriebssysteme ausführen, müssen die Sicherheitsupdatepakete KB952004 und KB956572 für jedes Betriebssystem in ihrer Umgebung installieren.

Die zwei Updates sind für die meisten betroffenen Betriebssysteme erforderlich, da sich die Änderungen zur Behebung der Sicherheitsanfälligkeiten in separaten Komponenten befinden. KB952004 behebt das öffentlich bekannte Problem in der MSDTC-Transaktionsfunktion. KB956572 stellt die architektonischen Änderungen bereit, die zum Sicherstellen einer ordnungsgemäßen dienstübergreifenden Dienstisolierung auf Windows-Plattformen erforderlich sind.

Warum behandelt dieses Update mehrere gemeldete Sicherheitsanfälligkeiten?
Dieses Update bietet Unterstützung für mehrere Sicherheitsanfälligkeiten, da die Änderungen, die zum Beheben dieser Probleme erforderlich sind, in zueinander in Beziehung stehenden Dateien enthalten sind. Auf diese Weise müssen Benutzer nicht mehrere Updates installieren, die nahezu identisch sind, sondern nur dieses eine Update.

Enthält dieses Update sicherheitsbezogene Funktionsänderungen?
Ja. Neben den Änderungen, die im Abschnitt Informationen zu Sicherheitsanfälligkeiten in diesem Bulletin aufgeführt sind, stellt dieses Sicherheitsupdate auch eine Infrastruktur zum Isolieren und Sichern von Diensten bereit. In Windows XP und Windows Server 2003 werden alle Prozesse, die im Kontext eines einzelnen Kontos ausgeführt werden, vollständige Kontrolle über einander haben. Dieses Update stellt Drittanbietern die Möglichkeit bereit, ihre Dienste, die SYSTEM-Tokens enthalten und unter den NetworkService- oder LocalService-Konten ausgeführt werden, zu isolieren und zu sichern. Weitere Informationen zur Verwendung dieses Registrierungsschlüssels finden Sie im Microsoft Knowledge Base-Artikel 956572.

Ich verwende eine ältere Version der in diesem Security Bulletin beschriebenen Software. Was soll ich tun?
Die in diesem Bulletin aufgeführte betroffene Software wurde daraufhin getestet, welche einzelnen Versionen betroffen sind. Andere Versionen haben das Ende ihrer Supportlebenszyklen erreicht. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion zu ermitteln.

Benutzer älterer Versionen dieser Software sollten möglichst bald zu Versionen migrieren, für die Support angeboten wird, um sich vor künftigen Sicherheitsanfälligkeiten zu schützen. Weitere Informationen zu den Windows-Produktzyklen finden Sie auf der Website Microsoft Support Lifecycle. Weitere Informationen zur erweiterten Unterstützung durch Sicherheitsupdates für diese Softwareversionen oder Editionen finden Sie auf der Website Microsoft Support Services.

Benutzer, die zusätzlichen Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kundenbetreuer, ihren Technical Account Manager oder den jeweiligen Microsoft-Partner wenden, um Supportangebote in Anspruch nehmen zu können. Kunden, die nicht über einen Alliance-, Premier- oder Authorized-Vertrag verfügen, können sich mit der regionalen Microsoft-Vertriebsniederlassung in Verbindung setzen. Kontaktinformationen finden Sie auf der Website Microsoft Worldwide. Wählen Sie Ihr Land aus, und klicken Sie auf Go. Es wird eine Telefonnummer für Ihr Land angezeigt. Wenn Sie unter der angegebenen Nummer anrufen, fragen Sie bitte nach dem regionalen Vertriebsmanager für Premier Support. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum Supportlebenszyklus für Windows.

Top of section

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit

Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für April. Weitere Informationen finden Sie in Microsoft-Ausnutzbarkeitsindex.

Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software
Betroffene Software	Sicherheitsanfälligkeit der Windows-MSDTC-Dienstisolierung – CVE-2008-1436	Sicherheitsanfälligkeit der Windows-WMI-Dienstisolierung – CVE-2009-0078	Sicherheitsanfälligkeit der Windows-RPCSS-Dienstisolierung – CVE-2009-0079	Sicherheitsanfälligkeit durch Windows-Threadpool-ACL-Schwäche – CVE-2009-0080	Bewertung des Gesamtschweregrads
Microsoft Windows 2000 Service Pack 4	Hoch Erhöhung von Berechtigungen	Nicht anwendbar	Nicht anwendbar	Nicht anwendbar	Hoch
Windows XP Service Pack 2 und Windows XP Service Pack 3	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Nicht anwendbar	Hoch
Windows XP Professional x64 Edition und Windows XP Professional x64 Edition Service Pack 2	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Nicht anwendbar	Hoch
Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Nicht anwendbar	Hoch
Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition Service Pack 2	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Nicht anwendbar	Hoch
Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte Systeme	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Nicht anwendbar	Hoch
Windows Vista und Windows Vista Service Pack 1	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Nicht anwendbar	Hoch Erhöhung von Berechtigungen	Hoch
Windows Vista x64 Edition und Windows Vista x64 Edition Service Pack 1	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Nicht anwendbar	Hoch Erhöhung von Berechtigungen	Hoch
Windows Server 2008 für 32-Bit-Systeme*	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Nicht anwendbar	Hoch Erhöhung von Berechtigungen	Hoch
Windows Server 2008 für x64-basierte Systeme*	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Nicht anwendbar	Hoch Erhöhung von Berechtigungen	Hoch
Windows Server 2008 für Itanium-basierte Systeme	Hoch Erhöhung von Berechtigungen	Hoch Erhöhung von Berechtigungen	Nicht anwendbar	Hoch Erhöhung von Berechtigungen	Hoch

*Die Server Core-Installation von Windows Server 2008 ist betroffen. Für unterstützte Editionen von Windows Server 2008 gilt dieses Update mit der gleichen Bewertung des Schweregrads. Dabei spielt es keine Rolle, ob Windows Server 2008 mit der Server Core-Installationsoption installiert wurde oder nicht. Weitere Informationen zu dieser Installationsoption finden Sie unter Server Core. Beachten Sie, dass die Server Core-Installationsoption für bestimmte Editionen von Windows Server 2008 nicht gilt; siehe dazu Vergleichen von Server Core-Installationsoptionen.

Top of section

Sicherheitsanfälligkeit der Windows-MSDTC-Dienstisolierung – CVE-2008-1436

In der Transaktionsfunktion von Microsoft Distributed Transaction Coordinator (MSDTC) liegt eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen auf Microsoft Windows-Plattformen vor. MSDTC lässt einen NetworkService-Token zurück, der von einem beliebigen Prozess imitiert werden kann, der aufgerufen wird. Die Sicherheitsanfälligkeit ermöglicht einem Prozess, der nicht unter dem NetworkService-Konto ausgeführt wird, aber über die SeImpersonatePrivilege-Berechtigung verfügt, seine Berechtigung auf „NetworkService“ zu erhöhen und Code mit NetworkService-Berechtigungen auszuführen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code ausführen und vollständige Kontrolle über das betroffene System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2008-1436.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit der Windows MSDTC-Dienstisolierung – CVE-2008-1436

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

•	Der Angreifer muss Code auf dem lokalen Computer ausführen können, um diese Sicherheitsanfälligkeit auszunutzen.

Top of section

Problemumgehungen für die Sicherheitsanfälligkeit der Windows MSDTC-Dienstisolierung – CVE-2008-1436

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

•

IIS 6.0: Konfigurieren Sie eine Arbeitsprozessidentität (WPI) für einen Anwendungspool in IIS, um in IIS-Manager ein erstelltes Konto zu verwenden und MSDTC zu deaktivieren.

Führen Sie die folgenden Schritte durch:

1.	Erweitern Sie in IIS-Manager den lokalen Computer und dann Anwendungspools. Klicken Sie mit der rechten Maustaste auf den Anwendungspool, und wählen Sie Eigenschaften aus.
2.	Klicken Sie auf die Registerkarte Identität und dann auf Konfigurierbar. Geben Sie in die Felder Benutzername und Kennwort den Benutzernamen und das Kennwort des Kontos ein, unter dem der Arbeitsprozess ausgeführt werden soll.
3.	Fügen Sie das ausgewählte Benutzerkonto der Gruppe IIS_WPG hinzu.

Das Deaktivieren von Distributed Transaction Coordinator trägt zum Schutz des betroffenen Systems vor Angriffen bei, mit denen diese Sicherheitsanfälligkeit ausgenutzt wird. Gehen Sie wie folgt vor, um Distributed Transaction Coordinator zu deaktivieren:

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung. Oder zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
2.	Doppelklicken Sie auf Verwaltung. Oder klicken Sie auf Zur klassischen Ansicht wechseln, und doppelklicken Sie dann auf Verwaltung.
3.	Doppelklicken Sie auf Dienste.
4.	Doppelklicken Sie auf Distributed Transaction Coordinator.
5.	Klicken Sie in der Liste Starttyp auf Deaktiviert.
6.	Klicken Sie auf Beenden (wenn gestartet) und dann auf OK.

Sie können den MSDTC-Dienst auch beenden und deaktivieren, indem Sie an der Eingabeaufforderung folgenden Befehl eingeben:

sc stop MSDTC & sc config MSDTC start= disabled

Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein. Ein Beispiel ist die Windows-Authentifizierung, siehe Microsoft Knowledge Base-Artikel 871179. Durch das Deaktivieren von MSDTC werden Anwendungen daran gehindert, verteilte Transaktionen zu verwenden. Durch das Deaktivieren von MSDTC wird IIS 5.1 an der Ausführung in Windows XP Professional Service Pack 2 und Windows XP Professional Service Pack 3 gehindert und IIS 6.0 an der Ausführung im Kompatibilitätsmodus von IIS 5.0. Durch das Deaktivieren MSDTC wird sowohl die Konfiguration als auch das Ausführen von COM+-Anwendungen verhindert.

•

IIS 7.0: Geben Sie eine WPI für einen Anwendungspool in IIS-Manager an.

1.	Erweitern Sie in IIS-Manager den Serverknoten, klicken Sie auf Anwendungspools, klicken Sie mit der rechten Maustaste auf den Anwendungspool dann auf Erweiterte Einstellungen
2.	Suchen Sie nach dem Eintrag Identität und klicken Sie auf die Schaltfläche …, um das Dialogfeld Identität des Anwendungspools zu öffnen.
3.	Wählen Sie die Option Benutzerdefiniertes Konto aus und klicken Sie auf Festlegen, um das Dialogfeld Anmeldeinformation festlegen zu öffnen. Geben Sie den ausgewählten Kontonamen und das Kennwort in die Felder „Benutzername“ und „Kennwort“ ein. Geben Sie das Kennwort im Textfeld Kennwort bestätigen erneut ein, und klicken Sie dann auf OK.

Hinweis: Anwendungspoolidentitäten werden dynamisch der Gruppe IIS_WPG in IIS7 hinzugefügt und müssen nicht manuell hinzugefügt werden.

Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

•

IIS 7.0: Geben Sie mit dem Befehlszeilenprogramm APPCMD.exe eine WPI für einen Anwendungspool an.

1.

Wechseln Sie an einer erhöhten Eingabeaufforderung in das Verzeichnis %systemroot%\system32\inetsrv.

2.

Führen Sie den Befehl APPCMD.exe unter Verwendung der folgenden Syntax aus, in der string der Name des Anwendungspools ist, userName:string der Benutzername des Kontos, das dem Anwendungspool zugewiesen wird, und password:string das Kennwort für das Konto.

appcmd set config /section:applicationPools /
[name='string'].processModel.identityType:SpecificUser /
[name='string'].processModel.userName:string /
[name='string'].processModel.password:string

Hinweis: Anwendungspoolidentitäten werden der Gruppe IIS_WPG in IIS 7.0 dynamisch hinzugefügt und müssen nicht manuell hinzugefügt werden.

Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

Top of section

Häufig gestellte Fragen (FAQs) zur Sicherheitsanfälligkeit der Windows-MSDTC-Dienstisolierung – CVE-2008-1436

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann für eine lokale Erhöhung von Berechtigungen ausgenutzt werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit NetworkService-Berechtigungen ausführen. Ein Angreifer könnte dann das LocalSystem-Token von anderen anfälligen Diensten übernehmen und Programme installieren sowie Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird dadurch verursacht, dass die Transaktionsfunktion von Microsoft Distributed Transaction Coordinator (MSDTC) es ermöglicht, dass das NetworkService-Token beim Ausführen eines RPC übernommen und verwendet werden kann.

Was ist Microsoft Distributed Transaction Coordinator?
Microsoft Distributed Transaction Coordinator (MSDTC) ist eine Funktion für verteilte Transaktionen für Microsoft Windows-Plattformen. MSDTC nutzt bewährte Transaktionstechnologie. Es ist trotz System-, Verfahrens- und Kommunikationsfehler robust und nutzt locker gekoppelte Systeme, um skalierbare Leistung bereitzustellen. Es lässt sich einfach installieren, konfigurieren und verwalten.

Weitere Informationen zu MSDTC finden Sie im MSDN-Artikel DTC-Entwicklerhandbuch.

Was ist RPC?
RPC (Remote Procedure Call oder Remoteprozeduraufruf) ist ein Protokoll, das ein Programm zum Anfordern eines Dienstes von einem Programm verwenden kann, das sich auf einem anderen Computer in einem Netzwerk befindet. RPC unterstützt die Interoperabilität, da das Programm, das RPC verwendet, die Netzwerkprotokolle nicht kennen muss, die die Kommunikation unterstützen. In RPC stellt das anfordernde Programm den Client und das den Dienst anbietende Programm den Server dar.

Was ist das NetworkService-Konto?
Das NetworkService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und fungiert als Computer auf dem Netzwerk. Ein Dienst, der im Kontext des NetworkService-Kontos ausgeführt wird, zeigt Remoteservern die Anmeldeinformationen des Computers an. Weitere Informationen finden Sie in dem MSDN-Artikel NetworkService-Konto.

Was ist das LocalService-Konto?
Das LocalService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und zeigt anonyme Anmeldeinformationen auf dem Netzwerk an. Weitere Informationen finden Sie in dem MSDN Artikel LocalService-Konto.

Was ist das LocalSystem-Konto?
Das LocalSystem-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt umfassende Berechtigungen auf dem lokalen Computer, und fungiert als Computer auf dem Netzwerk. Sein Token enthält SIDs NT AUTHORITY\SYSTEM und BUILTIN\Administrators. Diese Konten haben Zugriff auf die meisten Systemobjekte. Ein Dienst, der im Kontext des LocalSystem-Kontos ausgeführt wird, erbt den Sicherheitskontext vom Dienststeuerungs-Manager. Die meisten Dienste brauchen keine derart hohe Berechtigungsstufe. Weitere Informationen finden Sie in dem MSDN-Artikel LocalSystem-Konto.

Wie ist IIS von diesem Problem betroffen?
Systeme, die von Benutzern bereitgestellten Code in Internet Information Services (IIS) ausführen, können betroffen sein. Zum Beispiel können ISAPI-Filter und -Erweiterungen sowie ASP.NET-Code, der als voll vertrauenswürdig ausgeführt wird, von dieser Sicherheitsanfälligkeit betroffen sein.

IIS ist in den folgenden Szenarien nicht betroffen:

•	Standardinstallationen von IIS 5.1, IIS 6.0 und IIS 7.0
•	ASP.NET, das auf eine niedrigere Vertrauensebene als „Volles Vertrauen“ konfiguriert ist.

Wie ist SQL Server von diesem Problem betroffen?
Systeme, die SQL Server ausführen, können betroffen sein, wenn einem Benutzer Administratorrechte zum Laden und Ausführen von Code gewährt werden. Ein Benutzer mit SQL Server-Administratorberechtigungen kann speziell gestalteten Code ausführen, um diese Angriffsmethode auszunutzen. Diese Berechtigung wird jedoch nicht standardmäßig gewährt.

Welche zusätzlichen Anwendungen können von dieser Sicherheitsanfälligkeit betroffen sein?
Systeme, die einen Prozess mit SeImpersonatePrivilege-Berechtigung ausführen, der von Benutzern bereitgestellten Code lädt und ausführt, können für einen Angriff bezüglich der Erhöhung von Berechtigungen anfällig sein, wie er in diesem Security Bulletin beschrieben wird. Die SeImpersonatePrivilege-Einstellung ist in Microsoft Knowledge Base-Artikel 821546 beschrieben.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann speziell gestalteten Code im Kontext des NetworkService-Kontos ausführen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss sich ein Angreifer zuerst am System anmelden. Ein Angreifer kann dann eine speziell gestaltete Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzt, und auf diese Weise vollständige Kontrolle über ein betroffenes System übernehmen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Bei Servern ist das Risiko größer, wenn Benutzern ohne administrative Berechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Alle Systeme, auf denen unterstützte Editionen von Windows XP Professional Service Pack 2, Windows XP Professional Service Pack 3 ausgeführt werden, sowie alle unterstützten Versionen und Editionen von Windows Server 2003, Windows Vista und Windows Server 2008, können gefährdet sein, wenn IIS aktiviert oder SQL Server installiert ist und in einem anfälligen Zustand bereitgestellt oder konfiguriert wird, wie er in diesem Bulletin beschrieben wird.

Außerdem sind IIS-Systeme, die Benutzern das Hochladen von Code ermöglichen, besonders gefährdet. Systeme mit SQL Server sind gefährdet, wenn nicht vertrauenswürdigen Benutzern Zugriff auf privilegierte Konten gewährt wird. Dies kann Webhostinganbieter oder ähnliche Umgebungen umfassen.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit durch Verringern der Berechtigungsebene auf dem Token, der von MSDTC angefordert wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CVE-2008-1436 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Ja. Microsoft ist sich gezielter Angriffe bewusst, bei denen versucht wird, die Sicherheitsanfälligkeit auszunutzen.

Trägt die Installation dieses Sicherheitsupdates zum Schutz der Benutzer vor dem veröffentlichten Code bei, mit dem versucht wird, diese Sicherheitsanfälligkeit auszunutzen?
Ja. Durch dieses Sicherheitsupdate wird die derzeit ausgenutzte Sicherheitsanfälligkeit behoben. Der beseitigten Sicherheitsanfälligkeit wurde die Nummer für allgemeine Sicherheitsfälligkeit CVE-2008-1436 zugewiesen.

Top of section

Sicherheitsanfälligkeit der Windows-WMI-Dienstisolierung – CVE-2009-0078

Es liegt eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen vor, die dadurch verursacht wird, dass der WMI-Provider (Windows-Verwaltungsinstrumentation) Prozesse nicht richtig isoliert, die unter NetworkService- oder LocalService-Konten ausgeführt werden. Diese Sicherheitsanfälligkeit kann einem Angreifer ermöglichen, Code mit erhöhten Berechtigungen auszuführen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code ausführen und vollständige Kontrolle über das betroffene System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2009-0078.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit der Windows-WMI-Dienstisolierung – CVE-2009-0078

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

•	Der Angreifer muss Code auf dem lokalen Computer ausführen können, um diese Sicherheitsanfälligkeit auszunutzen.

Top of section

Problemumgehungen für die Sicherheitsanfälligkeit der Windows-WMI-Dienstisolierung – CVE-2009-0078

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

•

IIS 6.0: Konfigurieren Sie eine Arbeitsprozessidentität (WPI) für einen Anwendungspool in IIS, um in IIS-Manager ein erstelltes Konto zu verwenden und MSDTC zu deaktivieren.

Führen Sie die folgenden Schritte durch:

1.	Erweitern Sie in IIS-Manager den lokalen Computer und dann Anwendungspools. Klicken Sie mit der rechten Maustaste auf den Anwendungspool, und wählen Sie Eigenschaften aus.
2.	Klicken Sie auf die Registerkarte Identität und dann auf Konfigurierbar. Geben Sie in die Felder Benutzername und Kennwort den Benutzernamen und das Kennwort des Kontos ein, unter dem der Arbeitsprozess ausgeführt werden soll.
3.	Fügen Sie das ausgewählte Benutzerkonto der Gruppe IIS_WPG hinzu.

Das Deaktivieren von Distributed Transaction Coordinator trägt zum Schutz des betroffenen Systems vor Angriffen bei, mit denen diese Sicherheitsanfälligkeit ausgenutzt wird. Gehen Sie wie folgt vor, um Distributed Transaction Coordinator zu deaktivieren:

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung. Oder zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
2.	Doppelklicken Sie auf Verwaltung. Oder klicken Sie auf Zur klassischen Ansicht wechseln, und doppelklicken Sie dann auf Verwaltung.
3.	Doppelklicken Sie auf Dienste.
4.	Doppelklicken Sie auf Distributed Transaction Coordinator.
5.	Klicken Sie in der Liste Starttyp auf Deaktiviert.
6.	Klicken Sie auf Beenden (wenn gestartet) und dann auf OK.

Sie können den MSDTC-Dienst auch beenden und deaktivieren, indem Sie an der Eingabeaufforderung folgenden Befehl eingeben:

sc stop MSDTC & sc config MSDTC start= disabled

Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein. Ein Beispiel ist die Windows-Authentifizierung, siehe Microsoft Knowledge Base-Artikel 871179. Durch das Deaktivieren von MSDTC werden Anwendungen daran gehindert, verteilte Transaktionen zu verwenden. Durch das Deaktivieren von MSDTC wird IIS 5.1 an der Ausführung in Windows XP Professional Service Pack 2 und Windows XP Professional Service Pack 3 gehindert und IIS 6.0 an der Ausführung im Kompatibilitätsmodus von IIS 5.0. Durch das Deaktivieren MSDTC wird sowohl die Konfiguration als auch das Ausführen von COM+-Anwendungen verhindert.

•

IIS 7.0: Geben Sie eine WPI für einen Anwendungspool in IIS-Manager an.

1.	Erweitern Sie in IIS-Manager den Serverknoten, klicken Sie auf Anwendungspools, klicken Sie mit der rechten Maustaste auf den Anwendungspool dann auf Erweiterte Einstellungen
2.	Suchen Sie nach dem Eintrag Identität und klicken Sie auf die Schaltfläche …, um das Dialogfeld Identität des Anwendungspools zu öffnen.
3.	Wählen Sie die Option Benutzerdefiniertes Konto aus und klicken Sie auf Festlegen, um das Dialogfeld Anmeldeinformation festlegen zu öffnen. Geben Sie den ausgewählten Kontonamen und das Kennwort in die Felder „Benutzername“ und „Kennwort“ ein. Geben Sie das Kennwort im Textfeld Kennwort bestätigen erneut ein, und klicken Sie dann auf OK.

Hinweis: Anwendungspoolidentitäten werden dynamisch der Gruppe IIS_WPG in IIS7 hinzugefügt und müssen nicht manuell hinzugefügt werden.

Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

•

IIS 7.0: Geben Sie mit dem Befehlszeilenprogramm APPCMD.exe eine WPI für einen Anwendungspool an.

1.

Wechseln Sie an einer erhöhten Eingabeaufforderung in das Verzeichnis %systemroot%\system32\inetsrv.

2.

Führen Sie den Befehl APPCMD.exe unter Verwendung der folgenden Syntax aus, in der string der Name des Anwendungspools ist, userName:string der Benutzername des Kontos, das dem Anwendungspool zugewiesen wird, und password:string das Kennwort für das Konto.

appcmd set config /section:applicationPools /
[name='string'].processModel.identityType:SpecificUser /
[name='string'].processModel.userName:string /
[name='string'].processModel.password:string

Hinweis: Anwendungspoolidentitäten werden der Gruppe IIS_WPG in IIS 7.0 dynamisch hinzugefügt und müssen nicht manuell hinzugefügt werden.

Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

Top of section

Häufig gestellte Fragen (FAQs) zur Sicherheitsanfälligkeit der Windows-WMI-Dienstisolierung – CVE-2009-0078

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann für eine lokale Erhöhung von Berechtigungen ausgenutzt werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit den gleichen Berechtigungen wie das LocalSystem-Konto ausführen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird dadurch verursacht, dass der WMI-Provider (Windows-Verwaltungsinstrumentation) Prozesse nicht richtig isoliert, die unter NetworkService- oder LocalService-Konten ausgeführt werden. Zwei separate Prozesse, die unter dem gleichen Konto ausgeführt werden, haben vollen Zugriff auf die gegenseitigen Ressourcen, wie z. B. Dateihandle, Registrierungsschlüssel, Handles und so weiter. Der WMI-Provider-Hostprozess enthält in bestimmten Szenarien SYSTEM-Tokens. Wenn ein Angreifer unter dem Kontext eines NetworkService- oder LocalService-Kontos Zugriff auf einen Computer erlangt, kann der Angreifer Code ausführen, um die WMI-Provider-Hostprozesse auf SYSTEM-Tokens zu untersuchen. Wenn ein SYSTEM-Token gefunden wird, kann der Code des Angreifers diesen verwenden, um SYSTEM-Ebenenberechtigungen zu erlangen.

Was ist die Windows-Verwaltungsinstrumentation (WMI)?
Die Windows-Verwaltungsinstrumentation (WMI) ist die primäre Verwaltungstechnologie für Microsoft Windows-Betriebssysteme. Es ermöglicht die gleichmäßige und einheitliche Verwaltung, Steuerung und Überwachung von Systemen in Ihrem gesamten Unternehmen. WMI ermöglicht Systemadministratoren, Konfigurationseinstellungen auf Desktop- und Serversystemen, in Anwendungen, Netzwerken und anderen Unternehmenskomponenten abzufragen, zu ändern und zu überwachen. Weitere Informationen finden Sie in WMI-Scripting Primer.

Was ist das NetworkService-Konto?
Das NetworkService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und fungiert als Computer auf dem Netzwerk. Ein Dienst, der im Kontext des NetworkService-Kontos ausgeführt wird, zeigt Remoteservern die Anmeldeinformationen des Computers an. Weitere Informationen finden Sie in dem MSDN-Artikel Network Service-Konto.

Was ist das LocalService-Konto?
Das LocalService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und zeigt anonyme Anmeldeinformationen auf dem Netzwerk an. Weitere Informationen finden Sie in dem MSDN Artikel LocalService-Konto.

Was ist das LocalSystem-Konto?
Das LocalSystem-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt umfassende Berechtigungen auf dem lokalen Computer, und fungiert als Computer auf dem Netzwerk. Sein Token enthält SIDs NT AUTHORITY\SYSTEM und BUILTIN\Administrators. Diese Konten haben Zugriff auf die meisten Systemobjekte. Ein Dienst, der im Kontext des LocalSystem-Kontos ausgeführt wird, erbt den Sicherheitskontext vom Dienststeuerungs-Manager. Die meisten Dienste brauchen keine derart hohe Berechtigungsstufe. Weitere Informationen finden Sie in dem MSDN-Artikel LocalSystem-Konto.

Wie ist IIS von diesem Problem betroffen?
Systeme, die von Benutzern bereitgestellten Code in Internet Information Services (IIS) ausführen, können betroffen sein. Zum Beispiel können ISAPI-Filter und -Erweiterungen sowie ASP.NET-Code, der als voll vertrauenswürdig ausgeführt wird, von dieser Sicherheitsanfälligkeit betroffen sein.

IIS ist in den folgenden Szenarien nicht betroffen:

•	Standardinstallationen von IIS 5.1, IIS 6.0 und IIS 7.0
•	ASP.NET, das auf eine niedrigere Vertrauensebene als „Volles Vertrauen“ konfiguriert ist.

Wie ist SQL Server von diesem Problem betroffen?
Systeme, die SQL Server ausführen, können betroffen sein, wenn einem Benutzer Administratorrechte zum Laden und Ausführen von Code gewährt werden. Ein Benutzer mit SQL Server-Administratorberechtigungen kann speziell gestalteten Code ausführen, um diese Angriffsmethode auszunutzen. Diese Berechtigung wird jedoch nicht standardmäßig gewährt.

Welche WMI-Provider sind von diesem Update betroffen?
Eine vollständige Liste der WMI-Provider, die von diesem betroffen sind, finden Sie im Microsoft Knowledge Base-Artikel 956572.

Welche zusätzlichen Anwendungen können von dieser Sicherheitsanfälligkeit betroffen sein?
Systeme, die einen Prozess mit SeImpersonatePrivilege-Berechtigung ausführen, der von Benutzern bereitgestellten Code lädt und ausführt, können für einen Angriff bezüglich der Erhöhung von Berechtigungen anfällig sein, wie er in diesem Security Bulletin beschrieben wird. Die SeImpersonatePrivilege-Einstellung ist in Microsoft Knowledge Base-Artikel 821546 beschrieben.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann speziell gestalteten Code, der Zugriff auf Ressourcen in Prozessen erlangen kann, die auch als NetworkService oder LocalService ausgeführt werden, im Kontext von NetworkService- oder LocalService-Konten ausführen. Einige dieser Prozesse verfügen u. U. über die Möglichkeit, ihre Berechtigungen auf „LocalSystem“ zu erhöhen, sodass ein beliebiger NetworkService- oder LocalService-Prozess seine Berechtigungen ebenfalls auf „LocalSystem“ erhöhen kann. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer zuerst einen angemeldeten Benutzer dazu verleiten, Code auf dem System auszuführen. Ein Angreifer kann dann eine speziell gestaltete Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzt, und auf diese Weise vollständige Kontrolle über ein betroffenes System übernehmen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Bei Servern ist das Risiko größer, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Alle Systeme, auf denen unterstützte Editionen von Windows XP Professional Service Pack 2, Windows XP Professional Service Pack 3 ausgeführt werden, sowie alle unterstützten Versionen und Editionen von Windows Server 2003, Windows Vista und Windows Server 2008, können gefährdet sein, wenn IIS aktiviert oder SQL Server installiert ist und in einem anfälligen Zustand bereitgestellt oder konfiguriert wird, wie er in diesem Bulletin beschrieben wird.

Außerdem sind IIS-Systeme, die Benutzern das Hochladen von Code ermöglichen, besonders gefährdet. Systeme mit SQL Server sind gefährdet, wenn nicht vertrauenswürdigen Benutzern Zugriff auf privilegierte Konten gewährt wird. Dies kann Webhostinganbieter oder ähnliche Umgebungen umfassen.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit durch ordnungsgemäße Isolierung von WMI-Providern, um sicherzustellen, dass sie auf sichere Weise aufgerufen werden.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CVE-2009-0078 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Ja. Microsoft ist sich gezielter Angriffe bewusst, bei denen versucht wird, die Sicherheitsanfälligkeit auszunutzen.

Top of section

Sicherheitsanfälligkeit der Windows-RPCSS-Dienstisolierung – CVE-2009-0079

Es liegt eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen vor, die dadurch verursacht wird, dass der RPCSS-Dienst Prozesse, die unter NetworkService- oder LocalService-Konten ausgeführt werden, nicht richtig isoliert. Diese Sicherheitsanfälligkeit kann einem Angreifer ermöglichen, Code mit erhöhten Berechtigungen auszuführen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code ausführen und vollständige Kontrolle über das betroffene System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2009-0079.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit der Windows-RPCSS-Dienstisolierung – CVE-2009-0079

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

•	Der Angreifer muss Code auf dem lokalen Computer ausführen können, um diese Sicherheitsanfälligkeit auszunutzen.

Top of section

Problemumgehungen für die Sicherheitsanfälligkeit der Windows-RPCSS-Dienstisolierung – CVE-2009-0079

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

•

IIS 6.0: Konfigurieren Sie eine Arbeitsprozessidentität (WPI) für einen Anwendungspool in IIS, um in IIS-Manager ein erstelltes Konto zu verwenden und MSDTC zu deaktivieren.

Führen Sie die folgenden Schritte durch:

1.	Erweitern Sie in IIS-Manager den lokalen Computer und dann Anwendungspools. Klicken Sie mit der rechten Maustaste auf den Anwendungspool, und wählen Sie Eigenschaften aus.
2.	Klicken Sie auf die Registerkarte Identität und dann auf Konfigurierbar. Geben Sie in die Felder Benutzername und Kennwort den Benutzernamen und das Kennwort des Kontos ein, unter dem der Arbeitsprozess ausgeführt werden soll.
3.	Fügen Sie das ausgewählte Benutzerkonto der Gruppe IIS_WPG hinzu.

Das Deaktivieren von Distributed Transaction Coordinator trägt zum Schutz des betroffenen Systems vor Angriffen bei, mit denen diese Sicherheitsanfälligkeit ausgenutzt wird. Gehen Sie wie folgt vor, um Distributed Transaction Coordinator zu deaktivieren:

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung. Oder zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
2.	Doppelklicken Sie auf Verwaltung. Oder klicken Sie auf Zur klassischen Ansicht wechseln, und doppelklicken Sie dann auf Verwaltung.
3.	Doppelklicken Sie auf Dienste.
4.	Doppelklicken Sie auf Distributed Transaction Coordinator.
5.	Klicken Sie in der Liste Starttyp auf Deaktiviert.
6.	Klicken Sie auf Beenden (wenn gestartet) und dann auf OK.

Sie können den MSDTC-Dienst auch beenden und deaktivieren, indem Sie an der Eingabeaufforderung folgenden Befehl eingeben:

sc stop MSDTC & sc config MSDTC start= disabled

Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein. Ein Beispiel ist die Windows-Authentifizierung, siehe Microsoft Knowledge Base-Artikel 871179. Durch das Deaktivieren von MSDTC werden Anwendungen daran gehindert, verteilte Transaktionen zu verwenden. Durch das Deaktivieren von MSDTC wird IIS 5.1 an der Ausführung in Windows XP Professional Service Pack 2 und Windows XP Professional Service Pack 3 gehindert und IIS 6.0 an der Ausführung im Kompatibilitätsmodus von IIS 5.0. Durch das Deaktivieren MSDTC wird sowohl die Konfiguration als auch das Ausführen von COM+-Anwendungen verhindert.

•

IIS 7.0: Geben Sie eine WPI für einen Anwendungspool in IIS-Manager an.

1.	Erweitern Sie in IIS-Manager den Serverknoten, klicken Sie auf Anwendungspools, klicken Sie mit der rechten Maustaste auf den Anwendungspool dann auf Erweiterte Einstellungen
2.	Suchen Sie nach dem Eintrag Identität und klicken Sie auf die Schaltfläche …, um das Dialogfeld Identität des Anwendungspools zu öffnen.
3.	Wählen Sie die Option Benutzerdefiniertes Konto aus und klicken Sie auf Festlegen, um das Dialogfeld Anmeldeinformation festlegen zu öffnen. Geben Sie den ausgewählten Kontonamen und das Kennwort in die Felder „Benutzername“ und „Kennwort“ ein. Geben Sie das Kennwort im Textfeld Kennwort bestätigen erneut ein, und klicken Sie dann auf OK.

Hinweis: Anwendungspoolidentitäten werden dynamisch der Gruppe IIS_WPG in IIS7 hinzugefügt und müssen nicht manuell hinzugefügt werden.

Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

•

IIS 7.0: Geben Sie mit dem Befehlszeilenprogramm APPCMD.exe eine WPI für einen Anwendungspool an.

1.

Wechseln Sie an einer erhöhten Eingabeaufforderung in das Verzeichnis %systemroot%\system32\inetsrv.

2.

Führen Sie den Befehl APPCMD.exe unter Verwendung der folgenden Syntax aus, in der string der Name des Anwendungspools ist, userName:string der Benutzername des Kontos, das dem Anwendungspool zugewiesen wird, und password:string das Kennwort für das Konto.

appcmd set config /section:applicationPools /
[name='string'].processModel.identityType:SpecificUser /
[name='string'].processModel.userName:string /
[name='string'].processModel.password:string

Hinweis: Anwendungspoolidentitäten werden der Gruppe IIS_WPG in IIS 7.0 dynamisch hinzugefügt und müssen nicht manuell hinzugefügt werden.

Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

Top of section

Häufig gestellte Fragen (FAQs) zur Sicherheitsanfälligkeit der Windows-RPCSS-Dienstisolierung – CVE-2009-0079

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann für eine lokale Erhöhung von Berechtigungen ausgenutzt werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit LocalSystem-Berechtigungen ausführen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird dadurch verursacht, dass der RPCSS-Dienst Prozesse, die unter NetworkService- oder LocalService-Konten ausgeführt werden, nicht richtig isoliert.

Was ist RPC?
RPC (Remote Procedure Call oder Remoteprozeduraufruf) ist ein Protokoll, das ein Programm zum Anfordern eines Dienstes von einem Programm verwenden kann, das sich auf einem anderen Computer in einem Netzwerk befindet. RPC unterstützt die Interoperabilität, da das Programm, das RPC verwendet, die Netzwerkprotokolle nicht kennen muss, die die Kommunikation unterstützen. In RPC stellt das anfordernde Programm den Client und das den Dienst anbietende Programm den Server dar.

Was ist das NetworkService-Konto?
Das NetworkService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und fungiert als Computer auf dem Netzwerk. Ein Dienst, der im Kontext des NetworkService-Kontos ausgeführt wird, zeigt Remoteservern die Anmeldeinformationen des Computers an. Weitere Informationen finden Sie in dem MSDN-Artikel Network Service-Konto.

Was ist das LocalService-Konto?
Das LocalService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und zeigt anonyme Anmeldeinformationen auf dem Netzwerk an. Weitere Informationen finden Sie in dem MSDN Artikel LocalService-Konto.

Was ist das LocalSystem-Konto?
Das LocalSystem-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt umfassende Berechtigungen auf dem lokalen Computer, und fungiert als Computer auf dem Netzwerk. Sein Token enthält SIDs NT AUTHORITY\SYSTEM und BUILTIN\Administrators. Diese Konten haben Zugriff auf die meisten Systemobjekte. Ein Dienst, der im Kontext des LocalSystem-Kontos ausgeführt wird, erbt den Sicherheitskontext vom Dienststeuerungs-Manager. Die meisten Dienste brauchen keine derart hohe Berechtigungsstufe. Weitere Informationen finden Sie in dem MSDN-Artikel LocalSystem-Konto.

Wie ist IIS von diesem Problem betroffen?
Systeme, die von Benutzern bereitgestellten Code in Internet Information Services (IIS) ausführen, können betroffen sein. Zum Beispiel können ISAPI-Filter und -Erweiterungen sowie ASP.NET-Code, der als voll vertrauenswürdig ausgeführt wird, von dieser Sicherheitsanfälligkeit betroffen sein.

IIS ist in den folgenden Szenarien nicht betroffen:

•	Standardinstallationen von IIS 5.1, IIS 6.0 und IIS 7.0
•	ASP.NET, das auf eine niedrigere Vertrauensebene als „Volles Vertrauen“ konfiguriert ist.

Wie ist SQL Server von diesem Problem betroffen?
Systeme, die SQL Server ausführen, können betroffen sein, wenn einem Benutzer Administratorrechte zum Laden und Ausführen von Code gewährt werden. Ein Benutzer mit SQL Server-Administratorberechtigungen kann speziell gestalteten Code ausführen, um diese Angriffsmethode auszunutzen. Diese Berechtigung wird jedoch nicht standardmäßig gewährt.

Welche zusätzlichen Anwendungen können von dieser Sicherheitsanfälligkeit betroffen sein?
Systeme, die einen Prozess mit SeImpersonatePrivilege-Berechtigung ausführen, der von Benutzern bereitgestellten Code lädt und ausführt, können für einen Angriff bezüglich der Erhöhung von Berechtigungen anfällig sein, wie er in diesem Security Bulletin beschrieben wird. Die SeImpersonatePrivilege-Einstellung ist in Microsoft Knowledge Base-Artikel 821546 beschrieben.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann speziell gestalteten Code, der Zugriff auf Ressourcen in Prozessen erlangen kann, die auch als NetworkService oder LocalService ausgeführt werden, im Kontext von NetworkService- oder LocalService-Konten ausführen. Einige dieser Prozesse verfügen u. U. über die Möglichkeit, ihre Berechtigungen auf „LocalSystem“ zu erhöhen, sodass ein beliebiger NetworkService- oder LocalService-Prozess seine Berechtigungen ebenfalls auf „LocalSystem“ erhöhen kann. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss sich ein Angreifer zuerst am System anmelden. Ein Angreifer kann dann eine speziell gestaltete Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzt, und auf diese Weise vollständige Kontrolle über ein betroffenes System übernehmen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Bei Servern ist das Risiko größer, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Alle Systeme, auf denen Windows XP Professional Service Pack 2, Windows XP Professional Service Pack 3 ausgeführt wird, sowie alle unterstützten Versionen und Editionen von Windows Server 2003 können gefährdet sein, wenn IIS aktiviert oder SQL Server installiert ist und in einem anfälligen Zustand bereitgestellt oder konfiguriert wird, wie er in diesem Bulletin beschrieben wird.

Außerdem sind IIS-Systeme, die Benutzern das Hochladen von Code ermöglichen, besonders gefährdet. Systeme mit SQL Server sind gefährdet, wenn nicht vertrauenswürdigen Benutzern Zugriff auf privilegierte Konten gewährt wird. Dies kann Webhostinganbieter oder ähnliche Umgebungen umfassen.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit durch ordnungsgemäßes Isolieren von Prozessen, die unter NetworkService- oder LocalService-Konten ausgeführt werden.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CVE-2009-0079 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Ja. Microsoft ist sich gezielter Angriffe bewusst, bei denen versucht wird, die Sicherheitsanfälligkeit auszunutzen.

Top of section

Sicherheitsanfälligkeit durch Windows-Threadpool-ACL-Schwäche – CVE-2009-0080

Es liegt eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen vor, die dadurch verursacht wird, dass Windows falsche Zugriffssteuerungslisten (ACLs) auf Threads im aktuellen ThreadPool platziert. Diese Sicherheitsanfälligkeit kann einem Angreifer ermöglichen, Code mit erhöhten Berechtigungen auszuführen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code ausführen und vollständige Kontrolle über das betroffene System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2009-0080.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit durch Windows-Threadpool-ACL-Schwäche – CVE-2009-0080

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

•	Der Angreifer muss Code auf dem lokalen Computer ausführen können, um diese Sicherheitsanfälligkeit auszunutzen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der LocalSystem-Dienst erlangen.

Top of section

Problemumgehungen für die Sicherheitsanfälligkeit durch Windows-Threadpool-ACL-Schwäche – CVE-2009-0080

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

•

IIS 6.0: Konfigurieren Sie eine Arbeitsprozessidentität (WPI) für einen Anwendungspool in IIS, um in IIS-Manager ein erstelltes Konto zu verwenden und MSDTC zu deaktivieren.

Führen Sie die folgenden Schritte durch:

1.	Erweitern Sie in IIS-Manager den lokalen Computer und dann Anwendungspools. Klicken Sie mit der rechten Maustaste auf den Anwendungspool, und wählen Sie Eigenschaften aus.
2.	Klicken Sie auf die Registerkarte Identität und dann auf Konfigurierbar. Geben Sie in die Felder Benutzername und Kennwort den Benutzernamen und das Kennwort des Kontos ein, unter dem der Arbeitsprozess ausgeführt werden soll.
3.	Fügen Sie das ausgewählte Benutzerkonto der Gruppe IIS_WPG hinzu.

Das Deaktivieren von Distributed Transaction Coordinator trägt zum Schutz des betroffenen Systems vor Angriffen bei, mit denen diese Sicherheitsanfälligkeit ausgenutzt wird. Gehen Sie wie folgt vor, um Distributed Transaction Coordinator zu deaktivieren:

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung. Oder zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
2.	Doppelklicken Sie auf Verwaltung. Oder klicken Sie auf Zur klassischen Ansicht wechseln, und doppelklicken Sie dann auf Verwaltung.
3.	Doppelklicken Sie auf Dienste.
4.	Doppelklicken Sie auf Distributed Transaction Coordinator.
5.	Klicken Sie in der Liste Starttyp auf Deaktiviert.
6.	Klicken Sie auf Beenden (wenn gestartet) und dann auf OK.

Sie können den MSDTC-Dienst auch beenden und deaktivieren, indem Sie an der Eingabeaufforderung folgenden Befehl eingeben:

sc stop MSDTC & sc config MSDTC start= disabled

Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein. Ein Beispiel ist die Windows-Authentifizierung, siehe Microsoft Knowledge Base-Artikel 871179. Durch das Deaktivieren von MSDTC werden Anwendungen daran gehindert, verteilte Transaktionen zu verwenden. Durch das Deaktivieren von MSDTC wird IIS 5.1 an der Ausführung in Windows XP Professional Service Pack 2 und Windows XP Professional Service Pack 3 gehindert und IIS 6.0 an der Ausführung im Kompatibilitätsmodus von IIS 5.0. Durch das Deaktivieren MSDTC wird sowohl die Konfiguration als auch das Ausführen von COM+-Anwendungen verhindert.

•

IIS 7.0: Geben Sie eine WPI für einen Anwendungspool in IIS-Manager an.

1.	Erweitern Sie in IIS-Manager den Serverknoten, klicken Sie auf Anwendungspools, klicken Sie mit der rechten Maustaste auf den Anwendungspool dann auf Erweiterte Einstellungen
2.	Suchen Sie nach dem Eintrag Identität und klicken Sie auf die Schaltfläche …, um das Dialogfeld Identität des Anwendungspools zu öffnen.
3.	Wählen Sie die Option Benutzerdefiniertes Konto aus und klicken Sie auf Festlegen, um das Dialogfeld Anmeldeinformation festlegen zu öffnen. Geben Sie den ausgewählten Kontonamen und das Kennwort in die Felder „Benutzername“ und „Kennwort“ ein. Geben Sie das Kennwort im Textfeld Kennwort bestätigen erneut ein, und klicken Sie dann auf OK.

Hinweis: Anwendungspoolidentitäten werden dynamisch der Gruppe IIS_WPG in IIS7 hinzugefügt und müssen nicht manuell hinzugefügt werden.

Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

•

IIS 7.0: Geben Sie mit dem Befehlszeilenprogramm APPCMD.exe eine WPI für einen Anwendungspool an.

1.

Wechseln Sie an einer erhöhten Eingabeaufforderung in das Verzeichnis %systemroot%\system32\inetsrv.

2.

Führen Sie den Befehl APPCMD.exe unter Verwendung der folgenden Syntax aus, in der string der Name des Anwendungspools ist, userName:string der Benutzername des Kontos, das dem Anwendungspool zugewiesen wird, und password:string das Kennwort für das Konto.

appcmd set config /section:applicationPools /
[name='string'].processModel.identityType:SpecificUser /
[name='string'].processModel.userName:string /
[name='string'].processModel.password:string

Hinweis: Anwendungspoolidentitäten werden der Gruppe IIS_WPG in IIS 7.0 dynamisch hinzugefügt und müssen nicht manuell hinzugefügt werden.

Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

Top of section

Häufig gestellte Fragen zur Sicherheitsanfälligkeit durch Windows-Threadpool-ACL-Schwäche – CVE-2009-0080

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann für eine lokale Erhöhung von Berechtigungen ausgenutzt werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit LocalSystem-Berechtigungen ausführen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird dadurch verursacht, dass Windows falsche Zugriffssteuerungslisten (ACLs) auf Threads im aktuellen ThreadPool platziert.

Was ist die Windows-ThreadPool-Klasse?
Die Windows-ThreadPool-Klasse stellt einen Pool von Threads bereit, der verwendet werden kann, um Arbeitselemente, prozessasynchrone E/A, Wartevorgänge aufgrund anderer Threads und Prozesszeitgeber zu erstellen. Viele Anwendungen erstellen Threads, die sehr viel Zeit im Standbymodus verbringen und darauf warten, dass ein Ereignis auftritt. Andere Threads können in den Standbymodus übergehen und nur regelmäßig zum Abrufen einer Änderung oder Aktualisieren von Statusinformationen aktiviert werden. Mithilfe von Threadpools können Sie Threads effizienter verwenden, indem für Ihre Anwendung ein Pool von Arbeitsthreads bereitgestellt wird, die vom System verwaltet werden. Ein Thread überwacht den Status mehrerer Wartevorgänge, die sich in der Warteschlange des Threadpools befinden. Wenn ein Wartevorgang abschlossen wird, führt ein Arbeitsthread vom Threadpool die entsprechende Rückruffunktion aus. Weitere Informationen finden Sie in dem MSDN-Artikel ThreadPool-Klasse.

Was ist eine Zugriffssteuerungsliste (ACL)?
Eine Zugriffssteuerungsliste (ACL) ist eine Liste mit Sicherheitsschutzmaßnahmen, die auf ein Objekt angewendet werden. Ein Objekt kann eine Datei, ein Prozess, ein Ereignis oder etwas anderes mit einer Sicherheitsbeschreibung sein. Ein Eintrag in einer ACL ist ein Zugriffssteuerungseintrag (ACE). Es gibt zwei Arten von Zugriffssteuerungslisten: die freigegebene Zugriffssteuerungsliste und die Systemzugriffssteuerungsliste. Jeder ACE in einer ACL identifiziert Zugriffsrechte, die gewährt, verweigert oder für den Vertrauensnehmer überwacht werden. Weitere Informationen finden Sie in dem MSDN-Artikel Zugriffssteuerungslisten.

Was ist das NetworkService-Konto?
Das NetworkService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und fungiert als Computer auf dem Netzwerk. Ein Dienst, der im Kontext des NetworkService-Kontos ausgeführt wird, zeigt Remoteservern die Anmeldeinformationen des Computers an. Weitere Informationen finden Sie in dem MSDN-Artikel Network Service-Konto.

Was ist das LocalService-Konto?
Das LocalService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und zeigt anonyme Anmeldeinformationen auf dem Netzwerk an. Weitere Informationen finden Sie in dem MSDN Artikel LocalService-Konto.

Was ist das LocalSystem-Konto?
Das LocalSystem-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt umfassende Berechtigungen auf dem lokalen Computer, und fungiert als Computer auf dem Netzwerk. Sein Token enthält SIDs NT AUTHORITY\SYSTEM und BUILTIN\Administrators. Diese Konten haben Zugriff auf die meisten Systemobjekte. Ein Dienst, der im Kontext des LocalSystem-Kontos ausgeführt wird, erbt den Sicherheitskontext vom Dienststeuerungs-Manager. Die meisten Dienste brauchen keine derart hohe Berechtigungsstufe. Weitere Informationen finden Sie in dem MSDN-Artikel LocalSystem-Konto.

Wie ist IIS von diesem Problem betroffen?
Systeme, die von Benutzern bereitgestellten Code in Internet Information Services (IIS) ausführen, können betroffen sein. Zum Beispiel können ISAPI-Filter und -Erweiterungen sowie ASP.NET-Code, der als voll vertrauenswürdig ausgeführt wird, von dieser Sicherheitsanfälligkeit betroffen sein.

IIS ist in den folgenden Szenarien nicht betroffen:

•	Standardinstallationen von IIS 5.1, IIS 6.0 und IIS 7.0
•	ASP.NET, das auf eine niedrigere Vertrauensebene als „Volles Vertrauen“ konfiguriert ist.

Wie ist SQL Server von diesem Problem betroffen?
Systeme, die SQL Server ausführen, können betroffen sein, wenn einem Benutzer Administratorrechte zum Laden und Ausführen von Code gewährt werden. Ein Benutzer mit SQL Server-Administratorberechtigungen kann speziell gestalteten Code ausführen, um diese Angriffsmethode auszunutzen. Diese Berechtigung wird jedoch nicht standardmäßig gewährt.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann speziell gestalteten Code, der Zugriff auf Ressourcen in Prozessen erlangen kann, die auch als NetworkService oder LocalService ausgeführt werden, im Kontext von NetworkService- oder LocalService-Konten ausführen. Einige dieser Prozesse verfügen u. U. über die Möglichkeit, ihre Berechtigungen auf „LocalSystem“ zu erhöhen, sodass ein beliebiger NetworkService- oder LocalService-Prozess seine Berechtigungen ebenfalls auf „LocalSystem“ erhöhen kann. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss sich ein Angreifer zuerst am System anmelden. Ein Angreifer kann dann eine speziell gestaltete Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzt, und auf diese Weise vollständige Kontrolle über ein betroffenes System übernehmen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Bei Servern ist das Risiko größer, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Alle Systeme, auf denen die unterstützten Editionen von Windows Vista und Windows Server 2008 ausgeführt werden, können gefährdet sein, wenn IIS aktiviert oder SQL Server installiert ist und in einem anfälligen Zustand bereitgestellt oder konfiguriert wird, wie er in diesem Bulletin beschrieben wird.

Außerdem sind IIS-Systeme, die Benutzern das Hochladen von Code ermöglichen, besonders gefährdet. Systeme mit SQL Server sind gefährdet, wenn nicht vertrauenswürdigen Benutzern Zugriff auf privilegierte Konten gewährt wird. Dies kann Webhostinganbieter oder ähnliche Umgebungen umfassen.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit durch Korrektur der ACLs auf dem Thread innerhalb des Threadpools.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CVE-2009-0080 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Ja. Microsoft ist sich gezielter Angriffe bewusst, bei denen versucht wird, die Sicherheitsanfälligkeit auszunutzen.

Top of section

Tools und Anleitungen zur Erkennung und Bereitstellung

Verwalten Sie die Software und die Sicherheitsupdates, die Sie den Servern, Desktops und mobilen Computern in Ihrer Organisation bereitstellen müssen. Weitere Informationen finden Sie im TechNet Update Management Center. Die Website TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.

Sicherheitsupdates sind auch über Microsoft Update, Windows Update und Office Update verfügbar. Sicherheitsupdates sind auch im Microsoft Download Center verfügbar und können am einfachsten durch eine Suche nach dem Begriff „Sicherheitsupdate“ ermittelt werden.

Außerdem können Sicherheitsupdates vom Windows Update-Katalog heruntergeladen werden. Der Microsoft Update-Katalog stellt einen durchsuchbaren Katalog der Inhalte bereit, die über Windows Update und Microsoft Update zur Verfügung gestellt werden, einschließlich Sicherheitsupdates, Treiber und Service Packs. Indem Sie mit der Nummer des Security Bulletins suchen (z. B. „MS07-036“), können Sie Ihrem Warenkorb alle anwendbaren Updates (einschließlich verschiedener Sprachen für ein Update) hinzufügen und in den Ordner Ihrer Wahl herunterladen. Weitere Informationen zum Microsoft Update-Katalog, finden Sie unter Häufig gestellte Fragen zum Microsoft Update-Katalog.

Anleitungen zur Erkennung und Bereitstellung

Zu den Sicherheitsupdates dieses Monats stellt Microsoft Anleitungen zur Erkennung und Bereitstellung zur Verfügung: Diese Anleitungen geben auch IT-Profis Informationen zum Einsatz der verschiedenen Tools und zur Bereitstellung des Sicherheitsupdates. Behandelt werden u. a. Windows Update, Microsoft Update, Office Update, Microsoft Baseline Security Analyzer (MBSA), Office Detection Tool, Microsoft Systems Management Server (SMS) und das Extended Security Update Inventory Tool. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 910723.

Microsoft Baseline Security Analyzer

Der Microsoft Baseline Security Analyzer (MBSA) ermöglicht Administratoren die Überprüfung von lokalen und Remotesystemen im Hinblick auf fehlende Sicherheitsupdates sowie auf häufig falsch konfigurierte Sicherheitsparameter. Weitere Informationen zu MBSA finden Sie auf der Website Microsoft Baseline Security Analyzer.

In der folgenden Tabelle ist die Zusammenfassung zur MBSA-Erkennung für dieses Sicherheitsupdate enthalten.

Software	MBSA 2.1
Microsoft Windows 2000 Service Pack 4	Ja
Windows XP Service Pack 2 und Windows XP Service Pack 3	Ja
Windows XP Professional x64 Edition und Windows XP Professional x64 Edition Service Pack 2	Ja
Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2	Ja
Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition Service Pack 2	Ja
Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte Systeme	Ja
Windows Vista und Windows Vista Service Pack 1	Ja
Windows Vista x64 Edition und Windows Vista x64 Edition Service Pack 1	Ja
Windows Server 2008 für 32-Bit-Systeme	Ja
Windows Server 2008 für x64-basierte Systeme	Ja
Windows Server 2008 für Itanium-basierte Systeme	Ja

Weitere Informationen zu MBSA 2.1 finden Sie unter Häufig gestellte Fragen zu MBSA 2.1.

Windows Server Update Services

Mithilfe der Windows Server Update Services (WSUS) können Administratoren die neuesten kritischen Aktualisierungen und Sicherheitsupdates für Office XP und höher, Exchange Server 2003 und SQL Server 2000 für Windows 2000 und neuere Betriebssysteme bereitstellen. Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mithilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website.

Systems Management Server

Die folgende Tabelle enthält eine Zusammenfassung zur SMS-Erkennung und -Bereitstellung für dieses Sicherheitsupdate.

Software	SMS 2.0	SMS 2003 mit SUSFP	SMS 2003 mit ITMU	Configuration Manager 2007
Microsoft Windows 2000 Service Pack 4	Ja	Ja	Ja	Ja
Windows XP Service Pack 2 und Windows XP Service Pack 3	Ja	Ja	Ja	Ja
Windows XP Professional x64 Edition und Windows XP Professional x64 Edition Service Pack 2	Nein	Nein	Ja	Ja
Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2	Ja	Ja	Ja	Ja
Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition Service Pack 2	Nein	Nein	Ja	Ja
Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte Systeme	Nein	Nein	Ja	Ja
Windows Vista und Windows Vista Service Pack 1	Nein	Nein	Siehe Hinweis für Windows Vista und Windows Server 2008 weiter unten	Ja
Windows Vista x64 Edition und Windows Vista x64 Edition Service Pack 1	Nein	Nein	Siehe Hinweis für Windows Vista und Windows Server 2008 weiter unten	Ja
Windows Server 2008 für 32-Bit-Systeme	Nein	Nein	Siehe Hinweis für Windows Vista und Windows Server 2008 weiter unten	Ja
Windows Server 2008 für x64-basierte Systeme	Nein	Nein	Siehe Hinweis für Windows Vista und Windows Server 2008 weiter unten	Ja
Windows Server 2008 für Itanium-basierte Systeme	Nein	Nein	Siehe Hinweis für Windows Vista und Windows Server 2008 weiter unten	Ja

Im Fall von SMS 2.0 und SMS 2003 kann das SMS SUS Feature Pack, das das Sicherheitsupdate-Inventurprogramm (SUIT) enthält, von SMS zum Auffinden von Sicherheitsupdates verwendet werden. Siehe auch Downloads für Systems Management Server 2.0.

Im Fall von SMS 2003 kann von SMS zum Auffinden von unter Microsoft Updates erhältlichen Sicherheitsupdates und Updates, die von Windows Server Update Services unterstützt werden, das SMS 2003-Inventurprogramm für Microsoft-Updates (ITMU) verwendet werden. Weitere Informationen zum SMS 2003-Inventurprogramm für Microsoft-Updates finden Sie auf der Website SMS 2003-Inventurprogramm für Microsoft Updates. SMS 2003 kann auch das Microsoft Office-Inventurprogramm zur Erkennung der für Microsoft Office-Anwendungen erforderlichen Updates verwenden. Weitere Informationen zum Office-Inventurprogramm und anderen Scanning Tools finden Sie unter SMS 2003 Software Update Scanning Tools. Siehe auch Downloads für Systems Management Server 2003.

System Center Configuration Manager 2007 verwendet WSUS 3.0 für die Erkennung von Updates. Weitere Informationen zur Configuration Manager 2007-Softwareupdateverwaltung finden Sie auf der Website zu System Center Configuration Manager 2007.

Hinweis für Windows Vista und Windows Server 2008 Microsoft Systems Management Server 2003 mit Service Pack 3 enthält Unterstützung für Windows Vista und Windows Server 2008-Verwaltbarkeit.

Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 910723: Zusammenfassungsliste der monatlichen Anleitungen zur Erkennung und Bereitstellung.

Updatekompatibilitätsbewertung und Anwendungskompatibilitäts-Toolkit

Updates bearbeiten oft dieselben Dateien und Registrierungseinstellungen, die zum Ausführen Ihrer Anwendungen benötigt werden. Dies kann eine Inkompatibilität auslösen und die Bereitstellung von Sicherheitsupdates verzögern. Mit den Komponenten zur Updatekompatibilitätsbewertung, die im Anwendungskompatibilitäts-Toolkit 5.0 enthalten sind, können Sie die Vereinbarkeit von Windows-Updates mit installierten Anwendungen testen und überprüfen.

Das Anwendungskompatibilitäts-Toolkit (ACT) enthält alle notwendigen Tools und Dokumentationen, um die Anwendungskompatibilität zu prüfen und eventuelle Probleme zu beheben, bevor Microsoft Windows Vista, ein Windows-Update, ein Microsoft-Sicherheitsupdate oder eine neue Version von Windows Internet Explorer in Ihrer Umgebung bereitgestellt wird.

Top of section

Bereitstellung von Sicherheitsupdates

Betroffene Software

Um Informationen zum jeweiligen Sicherheitsupdate für Ihre betroffene Software zu erhalten, klicken Sie auf den entsprechenden Link:

Windows 2000 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Aufnahme in zukünftige Service Packs:	Das Update für dieses Problem wird möglicherweise in zukünftigen Update-Rollups enthalten sein.
Bereitstellung:
Installieren ohne Benutzereingriff	Für Microsoft Windows 2000 Service Pack 4: Windows2000-KB952004-x86-ENU /quiet
Installieren ohne neu zu starten	Für Microsoft Windows 2000 Service Pack 4: Windows2000-KB952004-x86-ENU /norestart
Protokolldatei aktualisieren	kb952004.log
Weitere Informationen	Siehe den Unterabschnitt Tools und Anleitungen zur Erkennung und Bereitstellung
Neustartanforderung:
Neustart erforderlich?	Ja, Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.
HotPatching	Nicht anwendbar
Informationen zur Deinstallation:	Für Microsoft Windows 2000 Service Pack 4: Verwenden Sie die Option Software in der Systemsteuerung oder das Dienstprogramm „Spuninst.exe“ im Ordner %Windir%\$NTUninstallKB952004$\Spuninst.
Dateiinformationen:	Siehe Microsoft Knowledge Base-Artikel 959454.
Überprüfung des Registrierungsschlüssels	Für Microsoft Windows 2000 Service Pack 4: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB952004

Informationen zur Bereitstellung

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden.

Wenn Sie kürzlich einen Hotfix installiert haben, um eine dieser Dateien zu aktualisieren, dann kopiert das Installationsprogramm die RTMQFE-, SP1QFE bzw. SP2QFE-Dateien auf Ihr System. Andernfalls kopiert das Installationsprogramm die Dateien RTMGDR, SP1GDR oder SP2GDR auf Ihr System. Möglicherweise enthalten die Sicherheitsupdates nicht alle Varianten dieser Dateien. Weitere Informationen hierzu finden Sie im Microsoft Knowledge Base-Artikel 824994.

Weitere Informationen zum Installationsprogramm finden Sie auf der Microsoft TechNet Website.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation.
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/overwriteoem	Überschreibt OEM-Dateien ohne Bestätigung.
/nobackup	Erstellt keine Sicherungskopien der Dateien für die Deinstallation.
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.
/extract[:Pfad]	Extrahiert Dateien, ohne das Setup-Programm zu starten.
/ER	Aktiviert erweiterte Fehlerberichterstattung.
/verbose	Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Hinweis Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Installationsoptionen, die von der früheren Version des Installationsprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Entfernen des Updates

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für Spuninst.exe
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation.
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer

Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie im Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung in diesem Bulletin.

•

Überprüfung der Dateiversion

Da mehrere Editionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen.

1.	Klicken Sie auf Start und dann auf Suchen.
2.	Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner.
3.	Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen.
4.	Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften. Hinweis Je nach der Edition des Betriebssystems oder den Programmen, die auf Ihrem System installiert sind, sind u. U. einige der in der Dateiinformationstabelle aufgeführten Dateien nicht installiert.
5.	Ermitteln Sie mithilfe der Registerkarte Version die Version der Datei, die auf Ihrem Computer installiert ist, indem Sie diese mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle aufgeführt wird. Hinweis Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

•

Überprüfung des Registrierungsschlüssels

Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des Registrierungsschlüssels in der Referenztabelle in diesem Abschnitt überprüfen.

Diese Registrierungsschlüssel enthalten möglicherweise keine vollständige Liste der installierten Dateien. Zudem werden die Registrierungsschlüssel möglicherweise nicht einwandfrei erstellt, wenn ein Administrator oder OEM dieses Sicherheitsupdate in die Windows-Installationsquelldateien integriert oder einbindet.

Top of section

Windows XP (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Aufnahme in zukünftige Service Packs:	Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Bereitstellung:
Installieren ohne Benutzereingriff	Für Windows XP Service Pack 2 und Windows XP Service Pack 3: WindowsXP-KB952004-x86-ENU /quiet WindowsXP-KB956572-x86-ENU /quiet
	Für Windows XP Professional x64 Edition und Windows XP Professional x64 Edition Service Pack 2: WindowsServer2003.WindowsXP-KB952004-x64-ENU /quiet WindowsServer2003.WindowsXP-KB956572-x64-ENU /quiet
Installieren ohne neu zu starten	Windows XP Service Pack 2 und Windows XP Service Pack 3: WindowsXP-KB952004-x86-ENU /norestart WindowsXP-KB956572-x86-ENU /norestart
	Windows XP Professional x64 Edition und Windows XP Professional x64 Edition Service Pack 2: WindowsServer2003.WindowsXP-KB952004-x64-ENU /norestart WindowsServer2003.WindowsXP-KB956572-x64-ENU /norestart
Protokolldatei aktualisieren	KB952004.log KB956572.log
Weitere Informationen	Siehe den Unterabschnitt Tools und Anleitungen zur Erkennung und Bereitstellung
Neustartanforderung:
Neustart erforderlich?	Ja, Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.
HotPatching	Nicht anwendbar
Informationen zur Deinstallation:	Verwenden Sie die Option Software in der Systemsteuerung oder das Dienstprogramm Spuninst.exe in den Ordnern %Windir%\$NTUninstallKB952004$\Spuninst und %Windir%\$NTUninstallKB956572$\Spuninst
Dateiinformationen:	Siehe Microsoft Knowledge Base-Artikel 959454.
Überprüfung des Registrierungsschlüssels	Für alle unterstützten 32-Bit-Editionen von Windows XP: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB952004 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB956572
	Für alle unterstützten x64-basierten Editionen von Windows XP: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB952004\Filelist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB956572\Filelist

Hinweis Für unterstützte Versionen von Windows XP Professional x64 Edition ist dieses Sicherheitsupdate identisch mit unterstützten Versionen des Sicherheitsupdates für Windows Server 2003 x64 Edition.

Informationen zur Bereitstellung

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden.

Wenn Sie kürzlich einen Hotfix installiert haben, um eine dieser Dateien zu aktualisieren, dann kopiert das Installationsprogramm die RTMQFE-, SP1QFE bzw. SP2QFE-Dateien auf Ihr System. Andernfalls kopiert das Installationsprogramm die Dateien RTMGDR, SP1GDR oder SP2GDR auf Ihr System. Möglicherweise enthalten die Sicherheitsupdates nicht alle Varianten dieser Dateien. Weitere Informationen hierzu finden Sie im Microsoft Knowledge Base-Artikel 824994.

Weitere Informationen zum Installationsprogramm finden Sie auf der Microsoft TechNet Website.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation.
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/overwriteoem	Überschreibt OEM-Dateien ohne Bestätigung.
/nobackup	Erstellt keine Sicherungskopien der Dateien für die Deinstallation.
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.
/integrate:Pfad	Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Installationsoption angegeben ist.
/extract[:Pfad]	Extrahiert Dateien, ohne das Setup-Programm zu starten.
/ER	Aktiviert erweiterte Fehlerberichterstattung.
/verbose	Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Hinweis Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Installationsoptionen, die von der früheren Version des Installationsprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Entfernen des Updates

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für Spuninst.exe
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer

Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie im Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung in diesem Bulletin.

•

Überprüfung der Dateiversion

Da mehrere Editionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen.

1.	Klicken Sie auf Start und dann auf Suchen.
2.	Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner.
3.	Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen.
4.	Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften. Hinweis Je nach der Edition des Betriebssystems oder den Programmen, die auf Ihrem System installiert sind, sind u. U. einige der in der Dateiinformationstabelle aufgeführten Dateien nicht installiert.
5.	Ermitteln Sie mithilfe der Registerkarte Version die Version der Datei, die auf Ihrem Computer installiert ist, indem Sie diese mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle aufgeführt wird. Hinweis Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

•

Überprüfung des Registrierungsschlüssels

Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des Registrierungsschlüssels in der Referenztabelle in diesem Abschnitt überprüfen.

Diese Registrierungsschlüssel enthalten möglicherweise keine vollständige Liste der installierten Dateien. Zudem werden die Registrierungsschlüssel möglicherweise nicht einwandfrei erstellt, wenn ein Administrator oder OEM dieses Sicherheitsupdate in die Windows-Installationsquelldateien integriert oder einbindet.

Top of section

Windows Server 2003 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Aufnahme in zukünftige Service Packs:	Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Bereitstellung:
Installieren ohne Benutzereingriff	Für alle unterstützten 32-Bit-Editionen von Windows Server 2003: WindowsServer2003-KB952004-x86-ENU /quiet WindowsServer2003-KB956572-x86-ENU /quiet
	Für alle unterstützten x64-basierten Editionen von Windows Server 2003: WindowsServer2003.WindowsXP-KB952004-x64-ENU /quiet WindowsServer2003.WindowsXP-KB956572-x64-ENU /quiet
	Für alle unterstützten Itanium-basierten Editionen von Windows Server 2003: WindowsServer2003-KB952004-ia64-ENU /quiet WindowsServer2003-KB956572-ia64-ENU /quiet
Installieren ohne neu zu starten	Für alle unterstützten 32-Bit-Editionen von Windows Server 2003: WindowsServer2003-KB952004-x86-ENU /norestart WindowsServer2003-KB956572-x86-ENU /norestart
	Für alle unterstützten x64-basierten Editionen von Windows Server 2003: WindowsServer2003.WindowsXP-KB952004-x64-ENU /norestart WindowsServer2003.WindowsXP-KB956572-x64-ENU /norestart
	Für alle unterstützten Itanium-basierten Editionen von Windows Server 2003: WindowsServer2003-KB952004-ia64-ENU /norestart WindowsServer2003-KB956572-ia64-ENU /norestart
Protokolldatei aktualisieren	KB952004.log KB956572.log
Weitere Informationen	Siehe den Unterabschnitt Tools und Anleitungen zur Erkennung und Bereitstellung
Neustartanforderung:
Neustart erforderlich?	Ja, Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.
HotPatching	Dieses Sicherheitsupdate unterstützt kein HotPatching. Weitere Informationen zum HotPatching finden Sie im Microsoft Knowledge Base-Artikel 897341.
Informationen zur Deinstallation:	Verwenden Sie die Option Software in der Systemsteuerung oder das Dienstprogramm Spuninst.exe in den Ordnern %Windir%\$NTUninstallKB952004$\Spuninst und %Windir%\$NTUninstallKB956572$\Spuninst
Dateiinformationen:	Siehe Microsoft Knowledge Base-Artikel 959454.
Überprüfung des Registrierungsschlüssels	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB952004\Filelist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB956572\Filelist

Informationen zur Bereitstellung

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden.

Wenn Sie kürzlich einen Hotfix installiert haben, um eine dieser Dateien zu aktualisieren, dann kopiert das Installationsprogramm die RTMQFE-, SP1QFE bzw. SP2QFE-Dateien auf Ihr System. Andernfalls kopiert das Installationsprogramm die Dateien RTMGDR, SP1GDR oder SP2GDR auf Ihr System. Möglicherweise enthalten die Sicherheitsupdates nicht alle Varianten dieser Dateien. Weitere Informationen hierzu finden Sie im Microsoft Knowledge Base-Artikel 824994.

Weitere Informationen zum Installationsprogramm finden Sie auf der Microsoft TechNet Website.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation.
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/overwriteoem	Überschreibt OEM-Dateien ohne Bestätigung.
/nobackup	Erstellt keine Sicherungskopien der Dateien für die Deinstallation.
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.
/integrate:Pfad	Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Installationsoption angegeben ist.
/extract[:Pfad]	Extrahiert Dateien, ohne das Setup-Programm zu starten.
/ER	Aktiviert erweiterte Fehlerberichterstattung.
/verbose	Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Hinweis Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch zahlreiche Installationsoptionen, die von der früheren Version des Installationsprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Entfernen des Updates

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für Spuninst.exe
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation.
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer

Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie im Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung in diesem Bulletin.

•

Überprüfung der Dateiversion

Da mehrere Editionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen.

1.	Klicken Sie auf Start und dann auf Suchen.
2.	Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner.
3.	Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen.
4.	Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften. Hinweis Je nach der Edition des Betriebssystems oder den Programmen, die auf Ihrem System installiert sind, sind u. U. einige der in der Dateiinformationstabelle aufgeführten Dateien nicht installiert.
5.	Ermitteln Sie mithilfe der Registerkarte Version die Version der Datei, die auf Ihrem Computer installiert ist, indem Sie diese mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle aufgeführt wird. Hinweis Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

•

Überprüfung des Registrierungsschlüssels

Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des Registrierungsschlüssels in der Referenztabelle in diesem Abschnitt überprüfen.

Diese Registrierungsschlüssel enthalten möglicherweise keine vollständige Liste der installierten Dateien. Zudem werden die Registrierungsschlüssel möglicherweise nicht einwandfrei erstellt, wenn ein Administrator oder OEM dieses Sicherheitsupdate in die Windows-Installationsquelldateien integriert oder einbindet.

Top of section

Windows Vista (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Aufnahme in zukünftige Service Packs:	Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Bereitstellung:
Installieren ohne Benutzereingriff	Für alle unterstützten 32-Bit-Editionen von Windows Vista: Windows6.0-KB952004-x86 /quiet Windows6.0-KB956572-x86 /quiet Für alle unterstützten x64-basierten Editionen von Windows Vista: Windows6.0-KB952004-x64 /quiet Windows6.0-KB956572-x64 /quiet
Installieren ohne neu zu starten	Für alle unterstützten 32-Bit-Editionen von Windows Vista: Windows6.0-KB952004-x86 /quiet /norestart Windows6.0-KB956572-x86 /quiet /norestart Für alle unterstützten x64-basierten Editionen von Windows Vista: Windows6.0-KB952004-x64 /quiet /norestart Windows6.0-KB956572-x64 /quiet /norestart
Weitere Informationen	Siehe den Unterabschnitt Tools und Anleitungen zur Erkennung und Bereitstellung
Neustartanforderung:
Neustart erforderlich?	Ja, Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.
HotPatching	Nicht relevant.
Informationen zur Deinstallation:	WUSA.exe unterstützt nicht die Deinstallation von Updates. Um ein Update zu deinstallieren, das von WUSA installiert wurde, klicken Sie auf Systemsteuerung und dann auf Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates anzeigen, und treffen Sie eine Auswahl in der Liste der Updates.
Dateiinformationen:	Siehe Microsoft Knowledge Base-Artikel 959454.
Überprüfung des Registrierungsschlüssels	Hinweis Es ist kein Registrierungsschlüssel vorhanden, um die Anwesenheit dieses Updates zu belegen.

Informationen zur Bereitstellung

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/?, /h, /help	Hilfe zu unterstützten Optionen wird angezeigt.
/quiet	Anzeige von Status- oder Fehlermeldungen wird unterdrückt.
/norestart	Bei einer gemeinsamen Verwendung mit /quiet wird das System nach der Installation auch dann nicht neu gestartet, wenn ein Neustart erforderlich ist, um die Installation abzuschließen.

Hinweis Weitere Informationen zum Installationsprogramm wusa.exe finden Sie im Microsoft Knowledge Base-Artikel 934307.

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer

Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie im Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung in diesem Bulletin.

•

Überprüfung der Dateiversion

Da mehrere Editionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen.

1.	Klicken Sie auf Start, und tragen Sie unter Suche starten den Namen einer Updatedatei ein.
2.	Wenn die Datei unter Programme angezeigt wird, klicken Sie mit der rechten Maustaste auf den Dateinamen, und klicken Sie dann auf Eigenschaften.
3.	Vergleichen Sie in der Registerkarte Allgemein die Dateigröße mit den im Knowledge Base-Artikel des Bulletins bereitgestellten Dateiinformationstabellen.
4.	Sie können auch auf die Registerkarte Detail klicken und die Informationen, z. B. zur Dateiversion und zum Änderungsdatum, mit den vorher im Knowledge Base-Artikel des Bulletins bereitgestellten Dateiinformationstabellen vergleichen.
5.	Außerdem können Sie auch auf die Registerkarte Vorherige Versionen klicken und die Dateiinformationen zur vorherigen Dateiversion mit den Dateiinformationen für die neue, bzw. aktualisierte, Dateiversion vergleichen.

Top of section

Windows Server 2008 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Aufnahme in zukünftige Service Packs:	Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Bereitstellung:
Installieren ohne Benutzereingriff	Für alle unterstützten 32-Bit-Editionen von Windows Server 2008: Windows6.0-KB952004-x86 /quiet Windows6.0-KB956572-x86 /quiet Für alle unterstützten x64-basierten Editionen von Windows Server 2008: Windows6.0-KB952004-x64 /quiet Windows6.0-KB956572-x64 /quiet Für alle unterstützten Itanium-basierten Editionen von Windows Server 2008: Windows6.0-KB952004-ia64 /quiet Windows6.0-KB956572-ia64 /quiet
Installieren ohne neu zu starten	Für alle unterstützten 32-Bit-Editionen von Windows Server 2008: Windows6.0-KB952004-x86 /quiet /norestart Windows6.0-KB956572-x86 /quiet /norestart Für alle unterstützten x64-basierten Editionen von Windows Server 2008: Windows6.0-KB952004-x64 /quiet /norestart Windows6.0-KB956572-x64 /quiet /norestart Für alle unterstützten Itanium-basierten Editionen von Windows Server 2008: Windows6.0-KB952004-ia64 /quiet /norestart Windows6.0-KB956572-ia64 /quiet /norestart
Weitere Informationen	Siehe den Unterabschnitt Tools und Anleitungen zur Erkennung und Bereitstellung
Neustartanforderung:
Neustart erforderlich?	Ja, Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.
HotPatching	Nicht relevant.
Informationen zur Deinstallation:	WUSA.exe unterstützt nicht die Deinstallation von Updates. Um ein Update zu deinstallieren, das von WUSA installiert wurde, klicken Sie auf Systemsteuerung und dann auf Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates anzeigen, und treffen Sie eine Auswahl in der Liste der Updates.
Dateiinformationen:	Siehe Microsoft Knowledge Base-Artikel 959454.
Überprüfung des Registrierungsschlüssels	Hinweis Es ist kein Registrierungsschlüssel vorhanden, um die Anwesenheit dieses Updates zu belegen.

Informationen zur Bereitstellung

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/?, /h, /help	Hilfe zu unterstützten Optionen wird angezeigt.
/quiet	Anzeige von Status- oder Fehlermeldungen wird unterdrückt.
/norestart	Bei einer gemeinsamen Verwendung mit /quiet wird das System nach der Installation auch dann nicht neu gestartet, wenn ein Neustart erforderlich ist, um die Installation abzuschließen.

Hinweis Weitere Informationen zum Installationsprogramm wusa.exe finden Sie im Microsoft Knowledge Base-Artikel 934307.

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer

Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie im Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung in diesem Bulletin.

•

Überprüfung der Dateiversion

Da mehrere Editionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen.

1.	Klicken Sie auf Start, und tragen Sie unter Suche starten den Namen einer Updatedatei ein.
2.	Wenn die Datei unter Programme angezeigt wird, klicken Sie mit der rechten Maustaste auf den Dateinamen, und klicken Sie dann auf Eigenschaften.
3.	Vergleichen Sie in der Registerkarte Allgemein die Dateigröße mit den im Knowledge Base-Artikel des Bulletins bereitgestellten Dateiinformationstabellen.
4.	Sie können auch auf die Registerkarte Detail klicken und die Informationen, z. B. zur Dateiversion und zum Änderungsdatum, mit den vorher im Knowledge Base-Artikel des Bulletins bereitgestellten Dateiinformationstabellen vergleichen.
5.	Außerdem können Sie auch auf die Registerkarte Vorherige Versionen klicken und die Dateiinformationen zur vorherigen Dateiversion mit den Dateiinformationen für die neue, bzw. aktualisierte, Dateiversion vergleichen.

Top of section

Danksagungen

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

•

Cesar Cerrudo von Argeniss für den Hinweis auf die Sicherheitsanfälligkeit der Windows-MSDTC-Dienstisolierung (CVE-2008-1436), Sicherheitsanfälligkeit der Windows-WMI-Dienstisolierung (CVE-2009-0078), Sicherheitsanfälligkeit der Windows-RPCSS-Dienstisolierung (CVE-2009-0079) und die Sicherheitsanfälligkeit durch Windows-Threadpool-ACL-Schwäche (CVE-2009-0080)

Top of section

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Top of section

Support

•	Technischer Support ist über den Security Support erhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
•	Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Supportanfragen zu Sicherheitsupdates sind kostenlos. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der International Support Website.

Top of section

Haftungsausschluss

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Top of section

Revisionen

•	V1.0 (14. April 2009): Bulletin veröffentlicht.
•	V1.1 (15. April 2009): Die Häufig gestellten Fragen (FAQs) zur Sicherheitsanfälligkeit durch Windows-Threadpool-ACL-Schwäche (CVE-2009-0080) wurden korrigiert, um einen fehlerhaften Eintrag „Was bewirkt das Update“ zu entfernen. Dies ist lediglich eine Informationsänderung.
•	V1.2 (22. April 2009): Dem Abschnitt Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate wurde ein Eintrag hinzugefügt, um mitzuteilen, dass der Abschnitt Bekannte Probleme mit diesem Sicherheitsupdate im zugehörigen Microsoft Knowledge Base-Artikel 959454 aktualisiert wurde. Dies ist lediglich eine Informationsänderung.
•	V2.0 (29. April 2009): Dem Abschnitt Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate wurde ein Eintrag hinzugefügt, um die erneute Veröffentlichung des Updates in Norwegisch für Microsoft Windows 2000 Service Pack 4 (KB952004) mitzuteilen. Benutzer, die das Update in Norwegisch benötigen, müssen das erneut veröffentlichte Update herunterladen und installieren. Von dieser erneuten Veröffentlichung sind keine weiteren Updates oder Gebietsschemata betroffen.

Top of section

Microsoft Security Bulletin MS09-012 – Hoch

Sicherheitsanfälligkeiten in Windows können Erhöhung von Berechtigungen ermöglichen (959454)

Allgemeine Informationen

Kurzzusammenfassung

Betroffene und nicht betroffene Software

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Informationen zu Sicherheitsanfälligkeiten

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit

Sicherheitsanfälligkeit der Windows-MSDTC-Dienstisolierung – CVE-2008-1436

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit der Windows MSDTC-Dienstisolierung – CVE-2008-1436

Problemumgehungen für die Sicherheitsanfälligkeit der Windows MSDTC-Dienstisolierung – CVE-2008-1436

Häufig gestellte Fragen (FAQs) zur Sicherheitsanfälligkeit der Windows-MSDTC-Dienstisolierung – CVE-2008-1436

Sicherheitsanfälligkeit der Windows-WMI-Dienstisolierung – CVE-2009-0078

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit der Windows-WMI-Dienstisolierung – CVE-2009-0078

Problemumgehungen für die Sicherheitsanfälligkeit der Windows-WMI-Dienstisolierung – CVE-2009-0078

Häufig gestellte Fragen (FAQs) zur Sicherheitsanfälligkeit der Windows-WMI-Dienstisolierung – CVE-2009-0078

Sicherheitsanfälligkeit der Windows-RPCSS-Dienstisolierung – CVE-2009-0079

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit der Windows-RPCSS-Dienstisolierung – CVE-2009-0079

Problemumgehungen für die Sicherheitsanfälligkeit der Windows-RPCSS-Dienstisolierung – CVE-2009-0079

Häufig gestellte Fragen (FAQs) zur Sicherheitsanfälligkeit der Windows-RPCSS-Dienstisolierung – CVE-2009-0079

Sicherheitsanfälligkeit durch Windows-Threadpool-ACL-Schwäche – CVE-2009-0080

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit durch Windows-Threadpool-ACL-Schwäche – CVE-2009-0080

Problemumgehungen für die Sicherheitsanfälligkeit durch Windows-Threadpool-ACL-Schwäche – CVE-2009-0080

Häufig gestellte Fragen zur Sicherheitsanfälligkeit durch Windows-Threadpool-ACL-Schwäche – CVE-2009-0080

Informationen zum Update

Tools und Anleitungen zur Erkennung und Bereitstellung

Bereitstellung von Sicherheitsupdates

Windows 2000 (alle Editionen)

Informationen zur Bereitstellung

Windows XP (alle Editionen)

Informationen zur Bereitstellung

Windows Server 2003 (alle Editionen)

Informationen zur Bereitstellung

Windows Vista (alle Editionen)

Informationen zur Bereitstellung

Windows Server 2008 (alle Editionen)

Informationen zur Bereitstellung

Weitere Informationen:

Danksagungen

Microsoft Active Protections Program (MAPP)

Support

Haftungsausschluss

Revisionen