Microsoft-beveiligingsbulletin MS07-039 - Kritiek

Ik heb de software waarin het probleem optreedt niet. Waarom krijg ik de beveiligingsupdate aangeboden?  
De beveiligingslekken die door deze beveiligingsupdate worden verholpen, hebben alleen gevolgen voor systemen met Windows Server 2000 en Windows Server 2003 die functioneren als domeincontroller. Desalniettemin komt de kwetsbare code voor op alle ondersteunde versies van Windows 2000 en Windows 2003. Deze update wordt aangeboden voor alle systemen waarop de kwetsbare code voorkomt.

Bij mij is ADAM geïnstalleerd. Wat moet ik doen?  
De kwetsbare code komt niet voor in ADAM Service Pack 1. Desalniettemin komt de kwetsbare code voor in oudere versies dan ADAM Service Pack 1. Het wordt aanbevolen Service Pack 1 voor ADAM te installeren. Ga voor meer informatie over ADAM Service Pack 1 naar de ADAM SP1-downloadsite.

Wat is ADAM?  
ADAM biedt gegevensopslag en -herstel voor directorytoepassingen, zonder de afhankelijkheden die voor de Active Directory-service vereist zijn. ADAM biedt veel van dezelfde functionaliteit als Active Directory, maar vereist de implementatie van domeinen of domeincontrollers niet, en het directoryschema voor ADAM is volledig onafhankelijk van het ondernemingsschema dat u mogelijk in een Active Directory-domein gebruikt. U kunt meerdere instanties van ADAM tegelijk op dezelfde computer uitvoeren, met een onafhankelijk beheerd schema voor elke ADAM-instantie.
Ga voor meer informatie over ADAM naar Introduction to Active Directory Application Mode.

Ik gebruik een oudere versie van de software die staat beschreven in dit beveiligingsbulletin. Wat moet ik doen?  
De software waarin het probleem optreedt en die in dit beveiligingsbulletin wordt vermeld, is getest om te controleren of het probleem bij deze versies optreedt. Andere versies hebben het einde van hun ondersteuningscyclus bereikt. Ga naar Microsoft Support Lifecycle om de ondersteuningscyclus voor uw softwareversie te bepalen.

Klanten die met deze besturingssysteemversies werken, kunnen er het beste voor kiezen om binnenkort te migreren naar versies waarvoor wel ondersteuning wordt aangeboden om te voorkomen dat potentiële beveiligingslekken een probleem vormen. Ga naar Microsoft Support Lifecycle voor meer informatie over de levenscyclus van Windows-producten. Ga naar de website Microsoft Product Support Services voor meer informatie over de ondersteuningsperiode voor beveiligingsupdates voor deze softwareversies.

Klanten die aangepaste ondersteuning voor deze producten nodig hebben, dienen voor aangepaste ondersteuningsopties contact op te nemen met hun Microsoft-accountteamvertegenwoordiger, hun technische accountmanager of de aangewezen vertegenwoordiger van hun Microsoft-partner. Klanten zonder Alliance-, Premier- of Authorized-contract kunnen contact opnemen met het Microsoft-verkoopkantoor in hun land. Ga voor informatie over hoe u contact met hen kunt opnemen naar de website Microsoft Worldwide Information, selecteer het land en klik vervolgens op Go om een lijst met telefoonnummers weer te geven. Wanneer u belt, vraag dan naar de Premier Support-verkoopmanager. Raadpleeg de Windows Operating System Product Support Lifecycle FAQ voor meer informatie.

Als gevolg van de wijze waarop LDAP-aanvragen in Active Directory worden gevalideerd, bestaat er een beveiligingslek waardoor externe code kan worden uitgevoerd. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan volledige controle krijgen over een systeem waarin dit probleem optreedt.

Zie CVE-2007-0040 als u dit beveiligingslek wilt weergeven als standaardvermelding in de lijst met veelvoorkomende beveiligingslekken en blootstellingen.

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

•	Met aanbevolen procedures voor firewalls en standaardfirewallconfiguraties kunnen klanten die het betrokken onderdeel nodig hebben hun netwerk beveiligen tegen aanvallen die van buiten het bedrijfsnetwerk komen. Het wordt aanbevolen op de systemen die met internet zijn verbonden zo min mogelijk poorten bloot te stellen aan deze aanvallen.
•	Misbruik van dit beveiligingslek zal hoogstwaarschijnlijk resulteren in een denial of service. Het kan echter ook zijn dat in dit geval ook uitvoering van externe code mogelijk wordt.
•	Op Windows Server 2003 moet een aanvaller geldige aanmeldingsreferenties hebben om dit beveiligingslek te kunnen misbruiken; het beveiligingslek kan niet worden misbruikt door anonieme gebruikers.

Top of section

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

•

Blokkeer het volgende in de firewall: TCP-poort 389 Deze poort wordt gebruikt om een verbinding tot stand te brengen met het onderdeel waarin dit probleem optreedt. Door deze poort voor zowel binnenkomend als uitgaand verkeer op de bedrijfsfirewall te blokkeren, zorgt u ervoor dat op systemen achter deze firewall geen aanvallen kunnen worden uitgevoerd. U wordt aanbevolen alle ongewenste inkomende communicatie via internet te blokkeren om aanvallen te voorkomen waarvoor andere poorten worden gebruikt. Ga naar TCP and UDP Port Assignments voor meer informatie over poorten.

•

Om uw computer te beschermen tegen netwerkaanvallen waarin dit beveiligingslek wordt misbruikt, kunt u het beste de poorten waarop dit probleem optreedt, via IPSec blokkeren op de systemen waarvoor het probleem geldt. Gebruik Internet Protocol Security (IPSec) om de netwerkcommunicatie te beveiligen. Zie de Microsoft Knowledge Base-artikelen 313190 en 813878 voor uitgebreide informatie over IPSec en het toepassen van filters.

Top of section

Wat is de omvang van het beveiligingslek? 
Dit beveiligingslek heeft betrekking op de uitvoering van externe code. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan op afstand volledige controle krijgen over een systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken.

Opmerking. Misbruik van dit beveiligingslek zal hoogstwaarschijnlijk resulteren in een denial of service. Er kan echter externe code worden uitgevoerd. Daarom is de omvang groter dan alleen een denial of service.

Waardoor wordt het beveiligingslek veroorzaakt? 
De LDAP-service voert onvoldoende controles uit voor het aantal converteerbare kenmerken in een LDAP-aanvraag.

Met welk doel kan een aanvaller het beveiligingslek misbruiken? 
Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan volledige controle krijgen over het systeem waarop dit probleem voorkomt.

Hoe kan een aanvaller dit beveiligingslek misbruiken? 
Op Windows 2000 Server kan elke anonieme gebruiker met toegang tot het doelnetwerk een speciaal ontworpen netwerkpakket bezorgen bij het systeem waarin dit probleem optreedt om misbruik te maken van dit beveiligingslek. Op Windows Server 2003 moet de aanvaller geldige verificatiereferenties hebben om dit beveiligingslek te kunnen misbruiken.

Voor welke systemen vormt dit beveiligingslek het grootste risico? 
Voor Active Directory is LDAP vereist. Daardoor heeft elk exemplaar van Windows 2000 Server en Windows Server 2003 dat als Active Directory Server wordt uitgevoerd last van dit beveiligingslek.

Kan het beveiligingslek via internet worden misbruikt?  
Ja. Een aanvaller kan proberen via internet misbruik te maken van het beveiligingslek. De meeste firewalls houden Active Directory-aanvragen meestal binnen de infrastructuur van het bedrijf. Met aanbevolen procedures voor firewalls kunt u een betere beveiliging realiseren tegen aanvallen die vanaf internet komen.

Wat is LDAP?  
LDAP (Lightweight Directory Access Protocol) is een protocol (industriestandaard) waarmee bevoegde gebruikers gegevens in een metamap kunnen doorzoeken of wijzigen. In Windows Server 2000 en Windows Server 2003 is LDAP een van de protocollen die worden gebruikt om toegang tot de gegevens in de Active Directory te krijgen.

Wat doet de update? 
Met de update verwijdert u het beveiligingslek doordat er controles worden uitgevoerd voor het aantal converteerbare kenmerken in LDAP-aanvragen.

Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft uit discrete bronnen informatie over dit beveiligingslek ontvangen.

Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft beschikte niet over informatie dat dit beveiligingslek was gebruikt voor aanvallen op klanten en had geen voorbeelden van gepubliceerde conceptcode gezien als bewijs toen dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven.

Top of section

Door de wijze waarop Microsoft Active Directory door clients verzonden LDAP-aanvragen valideert, bestaat er een beveiligingslek met betrekking tot denial of service. Een aanvaller kan misbruik maken van dit beveiligingslek door een speciaal ontworpen LDAP-aanvraag te verzenden naar een server waarop Active Directory wordt uitgevoerd. Een aanvaller die dit lek weet te misbruiken, kan ervoor zorgen dat de server tijdelijk niet meer reageert.

Zie CVE-2007-3028 als u dit beveiligingslek wilt weergeven als standaardvermelding in de lijst met veelvoorkomende beveiligingslekken en blootstellingen.

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

•	Met aanbevolen procedures voor firewalls en standaardfirewallconfiguraties kunnen klanten die het betrokken onderdeel nodig hebben hun netwerk beveiligen tegen aanvallen die van buiten het bedrijfsnetwerk komen. Het wordt aanbevolen op de systemen die met internet zijn verbonden zo min mogelijk poorten bloot te stellen aan deze aanvallen.
•	Edities van Windows Server 2003 hebben geen last van dit beveiligingslek.

Top of section

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

•

Blokkeer het volgende in de firewall: TCP-poorten 389 en 3268 Deze poorten worden gebruikt om verbindingen tot stand te brengen met het onderdeel waarin dit probleem optreedt. Door deze poorten voor zowel binnenkomend als uitgaand verkeer op de bedrijfsfirewall te blokkeren zorgt u ervoor dat op systemen achter deze firewall geen aanvallen kunnen worden uitgevoerd. U wordt aanbevolen alle ongewenste inkomende communicatie via internet te blokkeren om aanvallen te voorkomen waarvoor andere poorten worden gebruikt. Ga naar TCP and UDP Port Assignments voor meer informatie over poorten.

•

Om uw computer te beschermen tegen netwerkaanvallen waarin dit beveiligingslek wordt misbruikt, kunt u het beste de poorten waarop dit probleem optreedt, via IPSec blokkeren op de systemen waarvoor het probleem geldt. Gebruik Internet Protocol Security (IPSec) om de netwerkcommunicatie te beveiligen. Zie de Microsoft Knowledge Base-artikelen 313190 en 813878 voor uitgebreide informatie over IPSec en het toepassen van filters.

Top of section

Wat is de omvang van het beveiligingslek? 
Dit beveiligingslek heeft betrekking op een denial of service. Een aanvaller die dit lek weet te misbruiken, kan ervoor zorgen dat het systeem waarin dit probleem optreedt tijdelijk niet meer reageert. Gedurende die tijd is de server niet beschikbaar voor het verwerken van aanvragen. Het beveiligingslek betreft een 'denial-of-service'-probleem. Een aanvaller kan geen code uitvoeren of zichzelf gebruikersrechten toekennen, maar kan er wel voor zorgen dat het systeem waarin dit probleem optreedt geen aanvragen meer accepteert.

Waardoor wordt het beveiligingslek veroorzaakt? 
De LDAP-service ontcijfert gegevens die in het verzoek van de client-LDAP worden verzonden op verkeerde wijze.

Hoe kan een aanvaller dit beveiligingslek misbruiken? 
Een aanvaller kan proberen misbruik te maken van het beveiligingslek door een speciaal ontworpen netwerkpakket te verzenden naar een systeem waarin dit probleem optreedt. Het bericht kan er vervolgens voor zorgen dat het betreffende systeem stopt met reageren.

Voor welke systemen vormt dit beveiligingslek het grootste risico? 
Voor Active Directory is LDAP vereist. Daardoor heeft elk exemplaar van Windows 2000 Server dat als Active Directory Server wordt uitgevoerd last van dit beveiligingslek.

Kan het beveiligingslek via internet worden misbruikt?  
Ja. Een aanvaller kan proberen via internet misbruik te maken van het beveiligingslek. De meeste firewalls houden Active Directory-aanvragen meestal binnen de infrastructuur van het bedrijf. Met aanbevolen procedures voor firewalls kunt u een betere beveiliging realiseren tegen aanvallen die vanaf internet komen.

Wat is LDAP?  
LDAP (Lightweight Directory Access Protocol) is een protocol (industriestandaard) waarmee bevoegde gebruikers gegevens in een metamap kunnen doorzoeken of wijzigen. In Windows Server 2000 en Windows Server 2003 is LDAP een van de protocollen die worden gebruikt om toegang tot de gegevens in de Active Directory te krijgen.

Wat doet de update? 
Met de update verwijdert u het beveiligingslek door de logica van door clients verzonden LDAP-aanvragen te valideren.

Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft uit discrete bronnen informatie over dit beveiligingslek ontvangen.

Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft beschikte niet over informatie dat dit beveiligingslek was gebruikt voor aanvallen op klanten en had geen voorbeelden van gepubliceerde conceptcode gezien als bewijs toen dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven.

Top of section

De software- en beveiligingsupdate beheren waarmee u de servers, desktops en draagbare computers binnen uw organisatie kunt implementeren. Zie het TechNet Update Management Center voor meer informatie. De website Microsoft TechNet Security biedt extra informatie over beveiliging in Microsoft-producten.

Beveiligingsupdates zijn verkrijgbaar via Microsoft Update, Windows Update en Office Update. Beveiligingsupdates zijn ook verkrijgbaar via het Microsoft Downloadcentrum. U vindt deze updates het snelst door een zoekactie uit te voeren met als trefwoord "security_patch''. Ten slotte kunt u beveiligingsupdates downloaden uit de Windows Update-catalogus. Zie Microsoft Knowledge Base-artikel 323166 voor meer informatie over de Windows Update-catalogus.

Richtlijnen voor detecteren en implementeren

Microsoft heeft richtlijnen voor detecteren en implementeren uitgebracht voor de beveiligingsupdates van deze maand. Aan de hand van deze richtlijnen kunnen IT-professionals zien hoe zij met de diverse hulpprogramma's de beveiligingsupdate moeten implementeren, zoals Windows Update, Microsoft Update, Office Update, de Microsoft Baseline Security Analyzer (MBSA), de Office Detection Tool, Microsoft Systems Management Server (SMS), de Extended Security Update Inventory Tool en de Enterprise Update Scan Tool (EST). Zie Microsoft Knowledge Base-artikel 910723 voor meer informatie.

Microsoft Baseline Security Analyzer

Met Microsoft Baseline Security Analyzer (MBSA) kunnen beheerders lokale en externe systemen scannen op ontbrekende beveiligingsupdates en algemene, onjuiste beveiligingsconfiguraties. Ga naar de website Microsoft Baseline Security Analyzer voor meer informatie over MBSA. In de volgende tabel vindt u een overzicht van de MBSA-detectie voor deze beveiligingsupdate.

Ga naar de MBSA-website voor meer informatie over MBSA. Raadpleeg Microsoft Knowledge Base-artikel 895660 voor meer informatie over de software die niet door Microsoft Update en MBSA 2.0 wordt gedetecteerd.

Windows Server Update Services:

Als Windows Server Update Services (WSUS) wordt gebruikt, kunnen beheerders de nieuwste essentiële updates en beveiligingsupdates implementeren voor Windows-besturingssysteem Windows 2000 en later, Office XP en later, Exchange Server 2003 en SQL Server 2000 en later. Ga naar de website Windows Server Update Services voor meer informatie over hoe u deze beveiligingsupdate kunt implementeren met behulp van Windows Server Update Services.

Systems Management Server

In de volgende tabel vindt u een overzicht van de SMS-detectie en -implementatie voor deze beveiligingsupdate.

SMS 2.0 en SMS 2003 Software Update Services (SUS) Feature Pack kunnen MBSA 1.2.1 gebruiken voor detectie en moeten daarom ten aanzien van programma's die niet door MBSA 1.2.1 worden gedetecteerd, dezelfde beperking hebben die eerder in dit bulletin aan de orde is gekomen.

Het functiepakket SMS SUS, dat de Security Update Inventory Tool (SUIT) bevat, kan door SMS worden gebruikt voor het detecteren van beveiligingsupdates voor SMS 2.0. SMS SUIT gebruikt de MBSA 1.2.1-engine voor detectie. Ga voor meer informatie over SUIT naar de volgende Microsoft-website. Zie Microsoft Knowledge Base-artikel 306460 voor meer informatie over de beperkingen van SUIT. Het SMS SUS Feature Pack bevat ook de Microsoft Office Inventory Tool die de vereiste updates voor Microsoft Office-toepassingen detecteert.

Met de SMS 2003 Inventory Tool voor Microsoft Updates (ITMU) kan SMS beveiligingsupdates voor SMS 2003 vinden die worden aangeboden via Microsoft Update en die worden ondersteund door Windows Server Update Services. Ga voor meer informatie over SMS 2003 ITMU naar de volgende Microsoft-website. SMS 2003 kan ook gebruikmaken van de Microsoft Office Inventory Tool om vereiste updates voor Microsoft Office-toepassingen te detecteren.

Ga naar de SMS-website voor extra informatie over SMS.

Software waarin dit probleem optreedt

Klik voor informatie over de specifieke beveiligingsupdate voor uw software waarin dit probleem optreedt op de desbetreffende koppeling:

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Opgenomen in toekomstige service packs	De update voor dit probleem wordt waarschijnlijk opgenomen in een toekomstig updatepakket
Implementatie
Installeren zonder tussenkomst van de gebruiker	Windows 2000 Server Service Pack 4: Windows2000-kb926122-x86-enu /quiet
Installeren zonder opnieuw op te starten	Windows 2000 Server Service Pack 4: Windows2000-kb926122-Windows2000sp4-x86-enu /norestart
Logboekbestand bijwerken	Windows 2000 Server Service Pack 4: KB926122.log
Meer informatie	Zie de subsectie Hulpmiddelen en richtlijnen voor detecteren en implementeren
Opnieuw opstarten vereist
Opnieuw opstarten vereist	Nadat u deze beveiligingsupdate hebt uitgevoerd, moet u het systeem opnieuw opstarten.
HotPatching	Niet van toepassing
Informatie over verwijderen	Gebruik het onderdeel Software in het Configuratiescherm of het hulpprogramma Spuninst.exe in de map %Windir%\$NTUninstallKB926122$\Spuninst
Bestandsgegevens	Zie de subsectie Bestandsgegevens in dit onderdeel voor de volledige bestandenlijst
Verificatie van registersleutel	Voor Windows 2000 Server Service Pack 4: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB926122\Filelist

Bestandsgegevens

De Engelstalige versie van deze beveiligingsupdate moet de bestandskenmerken hebben die worden weergegeven in de volgende tabel. De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van de optie Datum en tijd in het Configuratiescherm.

Voor alle ondersteunde edities van Windows 2000 Server:

Bestandsnaam	Versie	Datum	Tijd	Grootte
ntdsa.dll	5.0.2195.7135	22-apr-2007	17:52	939.280
sp3res.dll	5.0.2195.7135	18-apr-2007	16:36	6.239.232

Opmerking Zie de Support Lifecycle Index voor een volledige lijst met ondersteunde versies. Zie Lifecycle Supported Service Packs voor een volledige lijst met service packs. Zie Microsoft Support Lifecycle voor meer informatie over het beleid met betrekking tot de ondersteuningscyclus.

Top of section

Informatie over implementatie

De update installeren

Wanneer u deze beveiligingspatch installeert, wordt door het installatieprogramma gecontroleerd of een of meerdere bestanden die op de computer worden bijgewerkt, al eerder door een Microsoft-hotfix zijn bijgewerkt.

Als er al eerder een hotfix is geïnstalleerd om een van deze bestanden bij te werken, worden de RTMQFE-bestanden, SP1QFE-bestanden of SP2QFE-bestanden naar uw systeem gekopieerd. In andere gevallen worden RTMGDR-, SP1GDR-, en SP2GDR-bestanden naar het systeem gekopieerd. Het kan zijn dat de beveiligingsupdates niet al deze bestanden bevatten. Zie artikel 824994 in de Microsoft Knowledge Base voor meer informatie hierover.

Ga naar de website Microsoft Technet voor meer informatie over het installatieprogramma.

Raadpleeg Microsoft Knowledge Base-artikel 824684 voor meer informatie over de terminologie die wordt gebruikt in dit bulletin, zoals hotfix.

Bij de installatie van deze beveiligingsupdate kunnen de volgende schakelopties worden gebruikt.

Schakelopties voor installatie van ondersteunde beveiligingsupdate
Schakeloptie	Beschrijving
/help	Hiermee worden de schakelopties weergegeven
Installatiemodi
/passive	Installatiemodus zonder toezicht Gebruikers hoeven niets te doen, maar de status van de installatie wordt wel weergegeven. Als de computer na de installatie opnieuw moet worden opgestart, wordt er een dialoogvenster weergegeven met de waarschuwing dat de computer over 30 seconden opnieuw zal worden opgestart.
/quiet	Stille modus. Deze modus is gelijk aan de modus zonder toezicht, maar status- en foutberichten worden niet weergegeven.
Opties voor opnieuw starten
/norestart	Computer niet opnieuw opstarten als installatie is voltooid
/forcerestart	De computer na de installatie opnieuw opstarten en ervoor zorgen dat andere toepassingen worden gesloten wanneer de computer wordt afgesloten, zonder geopende bestanden eerst op te slaan.
/warnrestart[:x]	Een dialoogvenster weergeven met de waarschuwing dat de computer over x seconden opnieuw zal worden opgestart. (De standaardinstelling is 30 seconden.) Bedoeld voor gebruik met de schakeloptie /quiet of /passive.
/promptrestart	Geeft een dialoogvenster weer dat de lokale gebruiker vraagt of de computer opnieuw mag worden opgestart
Speciale opties
/overwriteoem	OEM-bestanden overschrijven zonder te vragen
/nobackup	Geen back-up maken van bestanden die nodig zijn voor het verwijderen van de installatie
/forceappsclose	Andere programma's gedwongen sluiten wanneer de computer wordt afgesloten
/log:path	Omleiding van installatielogbestanden toestaan
/extract[:path]	Bestanden worden uitgepakt zonder Setup te starten
/ER	Uitgebreide foutrapportage inschakelen
/verbose	Uitvoerige logboekregistratie inschakelen. Tijdens de installatie wordt het bestand %Windir%\CabBuild.log gemaakt. In dit logbestand staan de bestanden die zijn gekopieerd. Door deze schakeloptie te gebruiken is het mogelijk dat de installatie langzamer verloopt.

Opmerking U kunt deze schakelopties combineren in één opdrachtregel. Met het oog op compatibiliteit met eerdere versies biedt deze beveiligingsupdate ook ondersteuning voor de installatieschakelopties die worden gebruikt door de eerdere versie van het installatieprogramma. Zie Microsoft Knowledge Base-artikel 262841 voor meer informatie over de ondersteunde schakelopties voor de installatie.

De update verwijderen

Bij de installatie van deze beveiligingsupdate kunnen de volgende schakelopties worden gebruikt.

Ondersteunde schakelopties van Spuninst.exe
Schakeloptie	Beschrijving
/help	Hiermee worden de schakelopties weergegeven
Installatiemodi
/passive	Installatiemodus zonder toezicht Gebruikers hoeven niets te doen, maar de status van de installatie wordt wel weergegeven. Als de computer na de installatie opnieuw moet worden opgestart, wordt er een dialoogvenster weergegeven met de waarschuwing dat de computer over 30 seconden opnieuw zal worden opgestart.
/quiet	Stille modus. Deze modus is gelijk aan de modus zonder toezicht, maar status- en foutberichten worden niet weergegeven.
Opties voor opnieuw starten
/norestart	Computer niet opnieuw opstarten als installatie is voltooid
/forcerestart	De computer na de installatie opnieuw opstarten en ervoor zorgen dat andere toepassingen worden gesloten wanneer de computer wordt afgesloten, zonder geopende bestanden eerst op te slaan.
/warnrestart[:x]	Een dialoogvenster weergeven met de waarschuwing dat de computer over x seconden opnieuw zal worden opgestart. (De standaardinstelling is 30 seconden.) Bedoeld voor gebruik met de schakeloptie /quiet of /passive.
/promptrestart	Geeft een dialoogvenster weer dat de lokale gebruiker vraagt of de computer opnieuw mag worden opgestart
Speciale opties
/forceappsclose	Andere programma's gedwongen sluiten wanneer de computer wordt afgesloten
/log:path	Omleiding van installatielogbestanden toestaan

Controleren of de update is toegepast

•

Microsoft Baseline Security Analyzer Gebruik het hulpprogramma Microsoft Baseline Security Analyzer (MBSA) om te controleren of de beveiligingsupdate is toegepast op het systeem waarvoor het probleem geldt. Zie de sectie Hulpmiddelen en richtlijnen voor detecteren en implementeren eerder in dit bulletin voor meer informatie.

•

Verificatie van bestandsversie Omdat er verschillende versies zijn van Microsoft Windows, kunnen de volgende stappen voor uw computer enigszins afwijken. Als dit het geval is, raadpleeg dan de productdocumentatie om deze stappen uit te voeren. 1. Klik op Start en klik vervolgens op Zoeken. 2. Klik in het venster Zoekresultaten op Alle bestanden en mappen onder Zoekassistent. 3. Typ in het vak De volledige of gedeeltelijke bestandsnaam een bestandsnaam uit de betreffende bestandsinformatietabel en klik vervolgens op Zoeken. 4. Klik in de lijst met bestanden met de rechtermuisknop op een bestandsnaam uit de betreffende bestandsinformatietabel en klik vervolgens op Eigenschappen. Opmerking Bepaalde bestanden die in de bestandsinformatietabel staan vermeld, worden mogelijk niet geïnstalleerd. Dit is afhankelijk van de editie van het besturingssysteem en de programma's die op uw systeem zijn geïnstalleerd. 5. Bepaal op het tabblad Versie de versie van het bestand dat op uw systeem is geïnstalleerd door de versie te vergelijken met de versie in de betreffende bestandsinformatietabel. Opmerking Andere kenmerken dan de bestandsversie kunnen tijdens de installatie worden veranderd. Vergelijking van andere bestandskenmerken met de gegevens in de bestandsinformatietabel vormt geen ondersteunde methode om te controleren of de update is toegepast. Bovendien kunnen in bepaalde gevallen de namen van bestanden tijdens installatie worden gewijzigd. Als de bestands- of versiegegevens niet aanwezig zijn, gebruikt u een van de andere beschikbare methoden om te controleren of de update is geïnstalleerd.

•

Verificatie van registersleutel Aan de hand van de registersleutels in de Referentietabel in deze sectie kunt u ook controleren welke bestanden met deze beveiligingsupdate zijn geïnstalleerd. Deze registersleutels bevatten mogelijk geen volledige lijst met geïnstalleerde bestanden. Bovendien zijn deze registersleutels mogelijk niet correct als een beheerder of een OEM de beveiligingsupdate integreert in de bronbestanden van de Windows-installatie.

Top of section

Top of section

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Opgenomen in toekomstige service packs	De update voor dit probleem wordt opgenomen in een toekomstig Service Pack of updatepakket
Implementatie
Installeren zonder tussenkomst van de gebruiker	Alle ondersteunde 32-bits edities, 64-bits edities en Itanium-edities van Windows Server 2003: Windowsserver2003-kb926122-x86-enu /quiet
Installeren zonder opnieuw op te starten	Alle ondersteunde 32-bits edities, 64-bits edities en Itanium-edities van Windows Server 2003: Windowsserver2003-kb926122-x86-enu /norestart
Logboekbestand bijwerken	KB926122.log
Meer informatie	Zie de subsectie Hulpmiddelen en richtlijnen voor detecteren en implementeren
Opnieuw opstarten vereist
Opnieuw opstarten vereist	Nadat u deze beveiligingsupdate hebt uitgevoerd, moet u het systeem opnieuw opstarten.
HotPatching	Deze beveiligingsupdate ondersteunt HotPatching niet. Raadpleeg Microsoft Knowledge Base-artikel 897341 voor meer informatie over HotPatching.
Informatie over verwijderen	Alle ondersteunde 32-bits edities, 64-bits edities en Itanium-edities van Windows Server 2003: Gebruik het onderdeel Software in het Configuratiescherm of het hulpprogramma Spuninst.exe in de map %Windir%\$NTUninstallKB926122$\Spuninst
Bestandsgegevens	Zie de subsectie Bestandsgegevens in dit onderdeel voor de volledige bestandenlijst
Verificatie van registersleutel	Alle ondersteunde 32-bits edities, 64-bits edities en Itanium-edities van Windows Server 2003: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB926122\Filelist

Bestandsgegevens

De Engelstalige versie van deze beveiligingsupdate moet de bestandskenmerken hebben die worden weergegeven in de volgende tabel. De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van de optie Datum en tijd in het Configuratiescherm.

Voor alle ondersteunde 32-bits edities van Windows Server 2003:

Bestandsnaam	Versie	Datum	Tijd	Grootte	Map
ntdsa.dll	5.2.3790.2926	29-apr-2007	17:49	1.515.520	SP1GDR
ntdsa.dll	5.2.3790.2926	29-apr-2007	17:59	1.521.664	SP1QFE
w03a2409.dll	5.2.3790.2926	26-apr-2007	22:22	27.648	SP1QFE
ntdsa.dll	5.2.3790.4070	29-apr-2007	18:04	1.522.176	SP2GDR
ntdsa.dll	5.2.3790.4070	29-apr-2007	17:53	1.522.176	SP2QFE
w03a2409.dll	5.2.3790.4070	27-apr-2007	04:04	453.632	SP2QFE

Voor alle ondersteunde x64-edities van Windows Server 2003:

Bestandsnaam	Versie	Datum	Tijd	Grootte	CPU	Map
ntdsa.dll	5.2.3790.2926	29-apr-2007	19:02	2.946.560	X64	SP1GDR
Wntdsa.dll	5.2.3790.2926	29-apr-2007	19:02	1.515.520	X86	SP1GDR\wow
ntdsa.dll	5.2.3790.2926	29-apr-2007	19:02	2.964.992	X64	SP1QFE
w03a2409.dll	5.2.3790.2926	29-apr-2007	19:02	28.160	X64	SP1QFE
Wntdsa.dll	5.2.3790.2926	29-apr-2007	19:02	1.521.664	X86	SP1QFE\wow
ww03a2409.dll	5.2.3790.2926	29-apr-2007	19:02	27.648	X86	SP1QFE\wow
ntdsa.dll	5.2.3790.4070	29-apr-2007	19:04	2.966.528	X64	SP2GDR
Wntdsa.dll	5.2.3790.4070	29-apr-2007	19:04	1.522.176	X86	SP2GDR\wow
ntdsa.dll	5.2.3790.4070	29-apr-2007	18:59	2.966.528	X64	SP2QFE
w03a2409.dll	5.2.3790.4070	29-apr-2007	18:59	454.144	X64	SP2QFE
Wntdsa.dll	5.2.3790.4070	29-apr-2007	18:59	1.522.176	X86	SP2QFE\wow
ww03a2409.dll	5.2.3790.4070	29-apr-2007	18:59	453.632	X86	SP2QFE\wow

Voor alle ondersteunde Itanium-edities van Windows Server 2003:

Bestandsnaam	Versie	Datum	Tijd	Grootte	CPU	Map
ntdsa.dll	5.2.3790.2926	29-apr-2007	18:58	4.237.312	IA-64	SP1GDR
Wntdsa.dll	5.2.3790.2926	29-apr-2007	18:58	1.515.520	X86	SP1GDR\wow
ntdsa.dll	5.2.3790.2926	29-apr-2007	18:59	4.250.624	IA-64	SP1QFE
w03a2409.dll	5.2.3790.2926	29-apr-2007	18:59	26.624	IA-64	SP1QFE
Wntdsa.dll	5.2.3790.2926	29-apr-2007	18:59	1.521.664	X86	SP1QFE\wow
ww03a2409.dll	5.2.3790.2926	29-apr-2007	18:59	27.648	X86	SP1QFE\wow
ntdsa.dll	5.2.3790.4070	29-apr-2007	19:03	4.253.696	IA-64	SP2GDR
Wntdsa.dll	5.2.3790.4070	29-apr-2007	19:03	1.522.176	X86	SP2GDR\wow
ntdsa.dll	5.2.3790.4070	29-apr-2007	18:59	4.253.696	IA-64	SP2QFE
w03a2409.dll	5.2.3790.4070	29-apr-2007	18:59	452.608	IA-64	SP2QFE
Wntdsa.dll	5.2.3790.4070	29-apr-2007	18:59	1.522.176	X86	SP2QFE\wow
ww03a2409.dll	5.2.3790.4070	29-apr-2007	18:59	453.632	X86	SP2QFE\wow

Opmerking Zie de Support Lifecycle Index voor een volledige lijst met ondersteunde versies en edities. Zie Lifecycle Supported Service Packs voor een volledige lijst met service packs. Zie Microsoft Support Lifecycle voor meer informatie over het beleid met betrekking tot de ondersteuningscyclus.

Top of section

Informatie over implementatie

De update installeren

Wanneer u deze beveiligingspatch installeert, wordt door het installatieprogramma gecontroleerd of een of meerdere bestanden die op de computer worden bijgewerkt, al eerder door een Microsoft-hotfix zijn bijgewerkt.

Als er al eerder een hotfix is geïnstalleerd om een van deze bestanden bij te werken, worden de RTMQFE-bestanden, SP1QFE-bestanden of SP2QFE-bestanden naar uw systeem gekopieerd. In andere gevallen worden RTMGDR-, SP1GDR-, en SP2GDR-bestanden naar het systeem gekopieerd. Het kan zijn dat de beveiligingsupdates niet al deze bestanden bevatten. Zie artikel 824994 in de Microsoft Knowledge Base voor meer informatie hierover.

Ga naar de website Microsoft Technet voor meer informatie over het installatieprogramma.

Raadpleeg Microsoft Knowledge Base-artikel 824684 voor meer informatie over de terminologie die wordt gebruikt in dit bulletin, zoals hotfix.

Bij de installatie van deze beveiligingsupdate kunnen de volgende schakelopties worden gebruikt.

Schakelopties voor installatie van ondersteunde beveiligingsupdate
Schakeloptie	Beschrijving
/help	Hiermee worden de schakelopties weergegeven
Installatiemodi
/passive	Installatiemodus zonder toezicht Gebruikers hoeven niets te doen, maar de status van de installatie wordt wel weergegeven. Als de computer na de installatie opnieuw moet worden opgestart, wordt er een dialoogvenster weergegeven met de waarschuwing dat de computer over 30 seconden opnieuw zal worden opgestart.
/quiet	Stille modus. Deze modus is gelijk aan de modus zonder toezicht, maar status- en foutberichten worden niet weergegeven.
Opties voor opnieuw starten
/norestart	Computer niet opnieuw opstarten als installatie is voltooid
/forcerestart	De computer na de installatie opnieuw opstarten en ervoor zorgen dat andere toepassingen worden gesloten wanneer de computer wordt afgesloten, zonder geopende bestanden eerst op te slaan.
/warnrestart[:x]	Een dialoogvenster weergeven met de waarschuwing dat de computer over x seconden opnieuw zal worden opgestart. (De standaardinstelling is 30 seconden.) Bedoeld voor gebruik met de schakeloptie /quiet of /passive.
/promptrestart	Geeft een dialoogvenster weer dat de lokale gebruiker vraagt of de computer opnieuw mag worden opgestart
Speciale opties
/overwriteoem	OEM-bestanden overschrijven zonder te vragen
/nobackup	Geen back-up maken van bestanden die nodig zijn voor het verwijderen van de installatie
/forceappsclose	Andere programma's gedwongen sluiten wanneer de computer wordt afgesloten
/log:path	Omleiding van installatielogbestanden toestaan
/integrate:path	De update in de Windows-bronbestanden integreren. Deze bestanden bevinden zich op het pad dat is opgegeven in de schakeloptie.
/extract[:path]	Bestanden worden uitgepakt zonder Setup te starten
/ER	Uitgebreide foutrapportage inschakelen
/verbose	Uitvoerige logboekregistratie inschakelen. Tijdens de installatie wordt het bestand %Windir%\CabBuild.log gemaakt. In dit logbestand staan de bestanden die zijn gekopieerd. Door deze schakeloptie te gebruiken is het mogelijk dat de installatie langzamer verloopt.

Opmerking U kunt deze schakelopties combineren in één opdrachtregel. Met het oog op compatibiliteit met eerdere versies biedt deze beveiligingsupdate ook ondersteuning voor veel van de installatieschakelopties die worden gebruikt door de eerdere versie van het installatieprogramma. Zie Microsoft Knowledge Base-artikel 262841 voor meer informatie over de ondersteunde schakelopties voor de installatie.

De update verwijderen

Bij de installatie van deze beveiligingsupdate kunnen de volgende schakelopties worden gebruikt.

Ondersteunde schakelopties van Spuninst.exe
Schakeloptie	Beschrijving
/help	Hiermee worden de schakelopties weergegeven
Installatiemodi
/passive	Installatiemodus zonder toezicht Gebruikers hoeven niets te doen, maar de status van de installatie wordt wel weergegeven. Als de computer na de installatie opnieuw moet worden opgestart, wordt er een dialoogvenster weergegeven met de waarschuwing dat de computer over 30 seconden opnieuw zal worden opgestart.
/quiet	Stille modus. Deze modus is gelijk aan de modus zonder toezicht, maar status- en foutberichten worden niet weergegeven.
Opties voor opnieuw starten
/norestart	Computer niet opnieuw opstarten als installatie is voltooid
/forcerestart	De computer na de installatie opnieuw opstarten en ervoor zorgen dat andere toepassingen worden gesloten wanneer de computer wordt afgesloten, zonder geopende bestanden eerst op te slaan.
/warnrestart[:x]	Een dialoogvenster weergeven met de waarschuwing dat de computer over x seconden opnieuw zal worden opgestart. (De standaardinstelling is 30 seconden.) Bedoeld voor gebruik met de schakeloptie /quiet of /passive.
/promptrestart	Geeft een dialoogvenster weer dat de lokale gebruiker vraagt of de computer opnieuw mag worden opgestart
Speciale opties
/forceappsclose	Andere programma's gedwongen sluiten wanneer de computer wordt afgesloten
/log:path	Omleiding van installatielogbestanden toestaan

Controleren of de update is toegepast

•

Microsoft Baseline Security Analyzer Gebruik het hulpprogramma Microsoft Baseline Security Analyzer (MBSA) om te controleren of de beveiligingsupdate is toegepast op het systeem waarvoor het probleem geldt. Zie de sectie Hulpmiddelen en richtlijnen voor detecteren en implementeren eerder in dit bulletin voor meer informatie.

•

Verificatie van bestandsversie Omdat er verschillende versies zijn van Microsoft Windows, kunnen de volgende stappen voor uw computer enigszins afwijken. Als dit het geval is, raadpleeg dan de productdocumentatie om deze stappen uit te voeren. 1. Klik op Start en klik vervolgens op Zoeken. 2. Klik in het venster Zoekresultaten op Alle bestanden en mappen onder Zoekassistent. 3. Typ in het vak De volledige of gedeeltelijke bestandsnaam een bestandsnaam uit de betreffende bestandsinformatietabel en klik vervolgens op Zoeken. 4. Klik in de lijst met bestanden met de rechtermuisknop op een bestandsnaam uit de betreffende bestandsinformatietabel en klik vervolgens op Eigenschappen. Opmerking Bepaalde bestanden die in de bestandsinformatietabel staan vermeld, worden mogelijk niet geïnstalleerd. Dit is afhankelijk van de editie van het besturingssysteem en de programma's die op uw systeem zijn geïnstalleerd. 5. Bepaal op het tabblad Versie de versie van het bestand dat op uw systeem is geïnstalleerd door de versie te vergelijken met de versie in de betreffende bestandsinformatietabel. Opmerking Andere kenmerken dan de bestandsversie kunnen tijdens de installatie worden veranderd. Vergelijking van andere bestandskenmerken met de gegevens in de bestandsinformatietabel vormt geen ondersteunde methode om te controleren of de update is toegepast. Bovendien kunnen in bepaalde gevallen de namen van bestanden tijdens installatie worden gewijzigd. Als de bestands- of versiegegevens niet aanwezig zijn, gebruikt u een van de andere beschikbare methoden om te controleren of de update is geïnstalleerd.

•

Verificatie van registersleutel Aan de hand van de registersleutels in de Referentietabel in deze sectie kunt u ook controleren welke bestanden met deze beveiligingsupdate zijn geïnstalleerd. Deze registersleutels bevatten mogelijk geen volledige lijst met geïnstalleerde bestanden. Bovendien zijn deze registersleutels mogelijk niet correct als een beheerder of een OEM de beveiligingsupdate integreert in de bronbestanden van de Windows-installatie.

Top of section

Top of section