TechNet Sicherheit > Sicherheitsempfehlungen

Microsoft-Sicherheitsempfehlung (973811)

Erweiterter Authentifizierungsschutz

Veröffentlicht: 11. Aug 2009 | Aktualisiert: 14. Okt 2009

Version: 1.1

Hiermit kündigt Microsoft die Verfügbarkeit einer neuen Funktion, „Erweiterter Authentifizierungsschutz“, auf der Windows-Plattform an. Diese Funktion verbessert den Schutz und die Verarbeitung von Anmeldeinformationen, wenn zur Authentifizierung von Netzwerkverbindungen die Integrierte Windows-Authentifizierung (IWA) verwendet wird.

Das Update selbst bietet keinen direkten Schutz gegen bestimmte Angriffe, wie das Weiterleiten von Anmeldeinformationen, ermöglicht Anwendungen aber, den erweiterten Authentifizierungsschutz zu aktivieren. Diese Empfehlung informiert Entwickler und Systemadministratoren über diese neue Funktion und deren Bereitstellung zum Schutz von Anmeldeinformationen für die Authentifizierung.

Schadensbegrenzende Faktoren:

•	Internet Explorer sendet niemals automatisch Anmeldeinformationen an Server, die in der Internetzone gehostet werden. Dadurch wird das Risiko verringert, dass Anmeldeinformationen von einem Angreifer innerhalb dieser Zone weitergeleitet werden können.
•	Anwendungen, die Sitzungssignatur und Verschlüsselung verwenden (z. B. Remoteprozeduraufruf (RPC) mit Datenschutz und Integrität oder SMB (Server Message Block) mit aktivierter Signatur), sind von dem Weiterleiten von Anmeldeinformationen nicht betroffen.

Allgemeine Informationen

Übersicht

Zweck dieser Sicherheitsempfehlung: Diese Empfehlung wurde veröffentlicht, um Endbenutzern die Veröffentlichung eines nicht sicherheitsrelevanten Updates anzukündigen, das eine neue Funktion, den erweiterten Authentifizierungsschutz, auf der Windows-Plattform zur Verfügung stellt.

Status der Empfehlung: Die Empfehlung wurde veröffentlicht.

Empfehlung: Lesen Sie die Vorschläge und führen Sie die entsprechenden Maßnahmen durch.

Referenzen	Identifizierung
Microsoft Knowledge Base-Artikel	Microsoft Knowledge Base-Artikel 973811

Diese Empfehlung kündigt die Veröffentlichung dieser Funktion für die folgenden Plattformen an:

Betroffene Software
Windows XP Service Pack 2 und Windows XP Service Pack 3 Windows XP für x64-basierte Systeme Service Pack 2 und Windows XP für x64-basierte Systeme Service Pack 3
Windows Server 2003 Service Pack 2 Windows Server 2003 für x64-basierte Systeme Service Pack 2 Windows Server 2003 für Itanium-basierte Systeme und Windows Server 2003 für Itanium-basierte Systeme Service Pack 2
Windows Vista, Windows Vista Service Pack 1 und Windows Vista Service Pack 2 Windows Vista für x64-basierte Systeme, Windows Vista für x64-basierte Systeme Service Pack 1 und Windows Vista für x64-basierte Systeme Service Pack 2
Windows Server 2008 für 32-Bit-Systeme und Windows Server 2008 für 32-Bit-Systeme Service Pack 2 Windows Server 2008 für x64-basierte Systeme und Windows Server 2008 für x64-basierte Systeme Service Pack 2 Windows Server 2008 für Itanium-basierte Systeme und Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
Nicht betroffene Software
Windows 7 für 32-Bit-Systeme Windows 7 für x64-basierte Systeme
Windows Server 2008 R2 für x64-basierte Systeme Windows Server 2008 R2 für Itanium-basierte Systeme

Top of section

Häufig gestellte Fragen (FAQs)

Was genau umfasst diese Empfehlung?
Microsoft hat diese Empfehlung veröffentlicht, um die Veröffentlichung einer neuen Funktion, „Erweiterter Authentifizierungsschutz“, als Update für die Windows SSPI anzukündigen, die die Weiterleitung von Adressanmeldeinformation unterstützt.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Nein, dies ist keine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist. Diese Funktion ist eine optionale Konfiguration, die einige Endbenutzer u. U. bereitstellen möchten. Sie ist nicht für alle Endbenutzer geeignet. Weitere Informationen zu dieser Funktion und der entsprechenden Konfiguration finden Sie im Microsoft Knowledge Base-Artikel 973811. Diese Funktion ist bereits in Windows 7 und Windows Server 2008 R2 enthalten.

Was ist der erweiterte Schutz für Windows-Authentifizierung?
Das Update im Microsoft Knowledge Base-Artikel 968389 ändert die SSPI, um die Funktionsweise der Windows-Authentifizierung zu verbessern, damit Anmeldeinformationen nicht einfach weitergeleitet werden, wenn die Integrierte Windows-Authentifizierung (IWA) aktiviert ist.

Wenn der erweiterte Authentifizierungsschutz aktiviert ist, sind Authentifizierungsanforderungen sowohl an den SPN (Service Principal Name) des Servers gebunden, mit dem der Client eine Verbindung herzustellen versucht, als auch an den äußeren TLS-Kanal (Transport Layer Security), über den die IWA-Authentifizierung stattfindet. Dies ist ein Basisupdate, das Anwendungen die Aktivierung der neuen Funktion ermöglicht.

In zukünftigen Updates werden einzelne Systemkomponenten geändert, die die IWA-Authentifizierung durchführen, damit die Komponenten diesen Schutzmechanismus verwenden. Endbenutzer müssen sowohl das Update aus dem Microsoft Knowledge Base-Artikel 968389 als auch die jeweiligen anwendungsspezifischen Updates für die Clientanwendungen und Server installieren, auf denen der erweiterte Authentifizierungsschutz aktiviert werden muss. Bei der Installation wird der erweiterte Authentifizierungsschutz auf dem Client durch die Verwendung von Registrierungsschlüsseln kontrolliert. Auf dem Server ist die Konfiguration anwendungsspezifisch.

Welche anderen Schritte unternimmt Microsoft, um diese Funktion zu implementieren?

Änderungen müssen an bestimmten Server- und Clientanwendungen vorgenommen werden, die die Integrierte Windows-Authentifizierung (IWA) verwenden, um sicherzustellen, dass diese die neue Schutztechnologie aktivieren.

Die am 11. August 2009 von Microsoft veröffentlichten Updates umfassen:

•	Microsoft Knowledge Base-Artikel 968389 implementiert den erweiterten Authentifizierungsschutz in der SSPI-Schnittstelle (Windows Security Support Provider Interface). Dieses Update ermöglicht Anwendungen, den erweiterten Authentifizierungsschutz zu wählen.
•	Microsoft Security Bulletin MS09-042 enthält außerdem ein nicht sicherheitsrelevantes Update mit Maßnahmen zur Verbesserung der Tiefenverteidigung, das dem Telnet-Client und -Server ermöglicht, den erweiterten Authentifizierungsschutz zu aktivieren.

Das am 13. Oktober 2009 von Microsoft veröffentlichte Update ist:

•	Microsoft Security Bulletin MS09-054 enthält ein nicht sicherheitsrelevantes Update mit Maßnahmen zur Verbesserung der Tiefenverteidigung, das WinINET ermöglicht, den erweiterten Authentifizierungsschutz zu aktivieren.

Microsoft plant, die Abdeckung auszudehnen, indem zukünftige Updates veröffentlicht werden, bei denen zusätzliche Server- und Clientanwendungen von Microsoft in diese Schutzmechanismen einbezogen werden. Diese Sicherheitsempfehlung wird mit aktualisierten Informationen überarbeitet, wenn solche Updates veröffentlicht werden.

Wie können Entwickler diese Schutztechnologie in ihre Anwendungen einbetten?

Entwickler finden weitere Informationen zur Verwendung des erweiterten Authentifizierungsschutzes im folgenden MSDN-Artikel: Integrierte Windows-Authentifizierung mit erweitertem Authentifizierungsschutz.

Wie aktiviere ich diese Funktion?

Auf dem Client müssen Benutzer die folgenden Registrierungsschlüsseleinstellungen implementieren.

Ausführliche Anweisungen um Aktivieren dieses Registrierungsschlüssels finden Sie im Microsoft Knowledge Base-Artikel 968389.

•

Setzen Sie den Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection auf „0“, um die Schutztechnologie zu aktivieren. Standardmäßig wird dieser Schlüssel bei der Installation auf „1“ gesetzt, womit der Schutz deaktiviert wird.

•

Setzen Sie den Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel auf „3“. Dies ist unter Windows XP und Windows Server 2003 nicht die Standardeinstellung. Dies ist ein vorhandener Schlüssel zur Aktivierung der NTLMv2-Authentifizierung. Der erweiterte Schutz für Windows-Authentifizierung gilt nur für die NTLMv2- und die Kerberos-Authentifizierungsprotokolle und nicht für NTLMv1.

Weitere Informationen zum Durchsetzen der NTLMv2-Authentifizierung und zu diesem Schlüssel finden Sie im Microsoft Knowledge Base-Artikel 239869.

Auf dem Server muss der erweiterte Authentifizierungsschutz für jeden Dienst einzeln aktiviert werden. Im folgenden Überblick wird gezeigt, wie der erweiterte Authentifizierungsschutz für die gemeinsamen Protokolle aktiviert wird, für die es derzeit verfügbar ist:

Telnet (KB 960859)

Für Telnet kann der erweiterte Authentifizierungsschutz auf dem Server aktiviert werden, indem der DWORD-Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection erstellt wird. Der Standardwert dieses Schlüssels lautet „Legacy“. Setzen Sie den Schlüssel auf einen der folgenden Werte:

•	Legacy: Indem der DWORD-Wert auf „0“ gesetzt wird, wird der erweiterte Authentifizierungsschutz auf dem Server deaktiviert und keine Verbindungen sind gegen Angriffe geschützt, bei denen Anmeldeinformationen weitergeleitet werden, auch nicht die Verbindungen von aktualisierten und richtig konfigurierten Clients.
•	Erweiterten Schutz zulassen: Indem der DWORD-Wert auf „1“ gesetzt wird, schützt der Server jene Clientcomputer, die darauf konfiguriert wurden, den erweiterten Authentifizierungsschutz gegen Angriffe durch die Übertragung von Anmeldeinformationen zu verwenden. Nicht aktualisierte und ordnungsgemäß konfigurierte Clients werden nicht geschützt.
•	Erweiterten Schutz fordern: Indem der DWORD-Wert auf „2“ gesetzt wird, fordert der Server von Clients, den erweiterten Authentifizierungsschutz zu unterstützen; andernfalls wird die Authentifizierung abgelehnt. Clients, bei denen der erweiterte Schutz nicht aktiviert ist, können sich nicht beim Server authentifizieren.

Ausführliche Anweisungen zum Erstellen dieses Registrierungsschlüssels finden Sie im Microsoft Knowledge Base-Artikel 960859.

Was sollte ich beim Bereitstellen von erweitertem Authentifizierungsschutz wissen?

Benutzer müssen das in Microsoft Knowledge Base-Artikel 968389 enthaltene Update sowie die jeweiligen Anwendungsupdates auf Client- und Servercomputern installieren und beide Computer ordnungsgemäß konfigurieren, um den Schutzmechanismus zu verwenden, mit dem sie gegen Angriffe durch die Weiterleitung von Anmeldeinformationen geschützt sind.

Wenn der erweiterte Authentifizierungsschutz auf dem Client aktiviert ist, ist er für alle Anwendungen aktiviert, die IWA verwenden. Auf dem Server jedoch muss der Schutz für jede Anwendung einzeln aktiviert werden.

Weshalb ist dies kein Sicherheitsupdate, das in einem Security Bulletin angekündigt wird?
Dieses Update implementiert eine neue Funktion, deren Aktivierung möglicherweise nicht für alle Endbenutzer geeignet ist. Es stellt eine zusätzliche Sicherheitsfunktion bereit, die Endbenutzer möglicherweise bereitstellen möchten, entsprechend ihres bestimmten Szenarios.

Dies ist eine Sicherheitsempfehlung bezüglich eines nicht sicherheitsrelevanten Sicherheitsupdates. Ist das nicht ein Widerspruch?
Sicherheitsempfehlungen behandeln Sicherheitsänderungen, die nicht unbedingt ein Security Bulletin erfordern, die sich aber dennoch auf die Gesamtsicherheit von Benutzern auswirken können. Sicherheitsempfehlungen sind eine Möglichkeit für Microsoft, Benutzern sicherheitsbezogene Informationen zu Problemen mitzuteilen, die nicht als Sicherheitsanfälligkeiten klassifiziert werden können und nicht unbedingt ein Security Bulletin erfordern, oder zu Problemen, für die kein Security Bulletin veröffentlicht worden ist. Im vorliegenden Fall teilen wir die Verfügbarkeit eines Updates mit, das keine bestimmte Sicherheitsanfälligkeit behebt, sondern vielmehr Ihre Gesamtsicherheit beeinflusst.

Wie wird dieses Update angeboten?
Diese Sicherheitsupdates sind im Microsoft Download Center verfügbar. Direkte Verknüpfungen zu den Updates für bestimmte betroffene Software sind in der Tabelle "Betroffene Software" im Abschnitt Übersicht aufgeführt. Weitere Informationen zum Update und den Verhaltensänderungen finden Sie im Microsoft Knowledge Base-Artikel 968389.

Wird dieses Sicherheitsupdate im Rahmen von Automatischen Updates angeboten?
Ja. Diese Updates werden über die Automatischen Updates angeboten.

Für welche Versionen von Windows gilt diese Empfehlung?
Die in dieser Empfehlung behandelte Funktion wird für alle Plattformen zur Verfügung gestellt, die in der Übersicht „Betroffene Software“ aufgeführt werden. Diese Funktion ist in allen Veröffentlichungen von Windows 7 und Windows Server 2008 R2 vorhanden.

Top of section

Empfohlene Maßnahmen

•	Lesen Sie den Microsoft Knowledge Base-Artikel zu dieser Empfehlung Endbenutzer, die mehr über diese Funktion erfahren möchten, sollten den Microsoft Knowledge Base-Artikel 973811 lesen.
•	Installieren Sie die Updates, die zu dem Security Bulletin MS09-042 gehören. Benutzer mit betroffenen Systemen können das Update vom Microsoft Knowledge Base-Artikel 968389 herunterladen. Mit diesem Update wird geändert, wie der Telnet-Dienst Authentifizierungsantworten überprüft, um die Übertragung der Anmeldeinformationen zu verhindern.
•	Schützen Sie Ihren PC Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Mehr zu diesen Vorsichtsmaßnahmen erfahren Sie unter Schützen Sie Ihren Computer.
•	Weitere Informationen zur Sicherheit im Internet finden Sie im Microsoft-Sicherheitsportal.
•	Aktualisieren Sie Windows regelmäßig Alle Windows-Endbenutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, rufen Sie die Windows Update-Website auf, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie Automatische Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.

Problemumgehungen

Es gibt eine Reihe von Problemumgehungen, mit dem Systeme gegen die Reflektion bzw. Weitergabe von Anmeldeinformationen geschützt werden können. Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn eine Problemumgehung die Funktionalität verringert, wird diese Einschränkung im folgenden Abschnitt genannt.

Aktivieren der SMB-Signatur

Wird auf dem Server SMB-Signatur aktiviert, wird der Angreifer daran gehindert, im Kontext des angemeldeten Benutzers auf den Server zuzugreifen. Dies schützt vor der Weiterleitung von Anmeldeinformationen an den SMB-Dienst. Microsoft empfiehlt, die SMB-Signatur mithilfe der Gruppenrichtlinien zu konfigurieren.

Ausführliche Anleitungen zum Aktivieren und Deaktivieren der SMB-Signatur mithilfe der Gruppenrichtlinien für Microsoft Windows 2000, Windows XP und Windows Server 2003 finden Sie im Microsoft Knowledge Base-Artikel 887429. Die Anleitungen im Microsoft Knowledge Base-Artikel 887429 für Windows XP und Windows Server 2003 gelten auch für Windows Vista und Windows Server 2008.

Auswirkung der Problemumgehung: Durch die Verwendung der SMB-Paketsignatur mit SMBv1 kann die Leistung der Dateidiensttransaktionen herabgesetzt werden. Computer, bei denen diese Richtlinieneinstellung festgelegt ist, kommunizieren nicht mit Computern, bei denen die clientseitige Paketsignatur nicht aktiviert ist. Weitere Informationen zur SMB-Signatur und möglichen Auswirkungen finden Sie in dem MSDN-Artikel Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer).

Top of section

Ressourcen:

•	Sie können uns Ihr Feedback über das Formular auf der Microsoft-Website Hilfe und Support: Kontakt zukommen lassen.
•	Technischer Support ist über den Security Support erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
•	Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der Website Internationale Hilfe und Support.
•	Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.

Haftungsausschluss:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

•	V1.0 (11. August 2009): Die Empfehlung wurde veröffentlicht.
•	V1.1 (14. Oktober 2009): Die Häufig gestellten Fragen (FAQs) wurden mit Informationen zu einem nicht sicherheitsrelevanten Update in MS09-054 aktualisiert, das sich auf WinINET bezieht.

Zum Seitenanfang