Für Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 ist ein automatischer Updater für nicht vertrauenswürdige Zertifikate verfügbar – Microsoft-Support

Für Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 ist ein automatischer Updater für nicht vertrauenswürdige Zertifikate verfügbar

Windows Server 2008 Datacenter Windows Server 2008 Datacenter ohne Hyper-V Windows Server 2008 Enterprise Windows Server 2008 Enterprise ohne Hyper-V Windows Server 2008 für Itanium-basierte Systeme Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 Standard ohne Hyper-V Windows Server 2008 Web Edition Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 für Itanium-basierte Systeme Windows Server 2008 R2 Foundation Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Vista Business Windows Vista Business 64-Bit-Edition Windows Vista Enterprise Windows Vista Enterprise 64-Bit-Edition Windows Vista Home Basic Windows Vista Home Basic 64-Bit-Edition Windows Vista Home Premium Windows Vista Home Premium 64-Bit-Edition Windows Vista Starter Windows Vista Ultimate Windows Vista Ultimate 64-Bit-Edition Windows 7 Enterprise Windows 7 Home Basic Windows 7 Home Premium Windows 7 Professional Windows 7 Starter Windows 7 Ultimate Mehr... Weniger

EINFÜHRUNG

Für Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 ist ein automatischer Updater für nicht vertrauenswürdige Zertifikate verfügbar. Dieser Updater erweitert die bestehende automatische Root-Update-Mechanismus-Technologie, die in Windows Vista und Windows 7 zu finden ist, um es zu ermöglichen, gefährdete oder in irgendeiner Weise nicht vertrauenswürdige Zertifikate ausdrücklich als nicht vertrauenswürdig zu kennzeichnen.

Eine Zertifikatsvertrauensliste (CTL) ist eine vordefinierte Liste von Elementen, die von einer vertrauenswürdigen Entität signiert sind. Alle Elemente in der Liste werden von einer vertrauenswürdigen Signaturinstanz authentifiziert und genehmigt. Dieses Update erweitert diese bestehende Funktionalität, indem bekannte nicht vertrauenswürdige Zertifikate zum Speicher für nicht vertrauenswürdige Zertifikate hinzugefügt werden, indem eine CTL verwendet wird, die entweder ihren öffentlichen Schlüssel oder ihren Signatur-Hash enthält. Nach der Installation dieses Updates profitieren Kunden von schnellen automatischen Updates nicht vertrauenswürdiger Zertifikate.

Benutzer, deren Systeme getrennt sind, profitieren nicht von dieser Funktionsverbesserung. Diese Kunden müssen die Root-Zertifikat-Updates noch installieren, sobald sie verfügbar sind. Bitte beachten Sie den Abschnitt „Weitere Informationen".


Im Rahmen dieses Updates wurden die URLs geändert, die für die Kontaktaufnahme mit Windows Update zum Herunterladen der nicht vertrauenswürdigen und vertrauenswürdigen CTLs verwendet werden. Dies könnte zu Problemen für Unternehmen führen, die diese URLs in ihren Firewalls als Ausnahmen fest codieren.

Im Folgenden sind die neuen URLs aufgeführt:

http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab

http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Mehr Informationen

Benutzer, deren Systeme getrennt sind, können dieses Update installieren. Diese Benutzer profitieren jedoch nicht von dem Update. Tatsächlich kann die Installation dieses Updates unmittelbar nach dem Neustart des Servers zu Dienststartfehlern führen. Bei Diensten, die während des Dienststarts Zertifikatsüberprüfungsaufgaben ausführen, kann es zu einer erhöhten Verzögerung kommen, während versucht wird, die vertrauenswürdigen und nicht vertrauenswürdigen CTLs von Windows Update über das Netzwerk abzurufen.

Für Systeme, auf denen Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird und die den automatischen Updater nicht vertrauenswürdiger Zertifikate verwenden (d. h. wenn entweder KB 2677070 oder KB 2813430 bereits installiert ist), lesen Sie den Rest Weitere Informationen finden Sie in diesem Abschnitt und auch im Microsoft Knowledge Base-Artikel 2813430 . Kunden müssen keine Maßnahmen ergreifen, da diese Systeme automatisch geschützt werden.

Wenn das System keinen Zugriff auf Windows Update hat, weil das System nicht mit dem Internet verbunden ist oder weil Windows Update durch Firewallregeln blockiert wird, kommt es beim Netzwerkabruf zu einer Zeitüberschreitung, bevor der Dienst seinen Startvorgang fortsetzen kann. In einigen Fällen kann diese Zeitüberschreitung beim Netzwerkabruf die Zeitüberschreitung beim Dienststart von 30 Sekunden überschreiten. Wenn ein Dienst nach 30 Sekunden nicht melden kann, dass der Startvorgang abgeschlossen ist, stoppt der Service Control Manager (SCM) den Dienst.

Wenn Sie die Installation dieses Updates auf nicht verbundenen Systemen nicht vermeiden können, können Sie den Netzwerkabruf der vertrauenswürdigen und nicht vertrauenswürdigen CTLs deaktivieren. Dazu deaktivieren Sie automatische Root-Updates mithilfe von Gruppenrichtlinieneinstellungen. Um automatische Root-Updates mithilfe von Richtlinieneinstellungen zu deaktivieren, führen Sie die folgenden Schritte aus:

1. Erstellen Sie eine Gruppenrichtlinie oder ändern Sie eine vorhandene Gruppenrichtlinie im Editor für lokale Gruppenrichtlinien.

2. Doppelklicken Sie im Editor für lokale Gruppenrichtlinien unter dem Knoten „Computerkonfiguration" auf „Richtlinien".

3. Doppelklicken Sie auf Windows-Einstellungen , doppelklicken Sie auf Sicherheitseinstellungen und doppelklicken Sie dann auf Richtlinien für öffentliche Schlüssel .

4. Doppelklicken Sie im Detailbereich auf Einstellungen für die Zertifikatpfadvalidierung .

5. Klicken Sie auf die Registerkarte „Netzwerkabruf ", wählen Sie „ Diese Richtlinieneinstellungen definieren" und deaktivieren Sie dann das Kontrollkästchen „Zertifikate im Microsoft Root Certificate Program automatisch aktualisieren" (empfohlen) .

6. Klicken Sie auf OK und schließen Sie dann den Editor für lokale Gruppenrichtlinien.

Nachdem Sie diese Änderung vorgenommen haben, werden automatische Root-Updates auf den Systemen deaktiviert, auf die die Richtlinie angewendet wird. Wir empfehlen, die Richtlinie nur auf solche Systeme anzuwenden, die keinen Internetzugang haben oder aufgrund von Firewall-Regeln nicht auf Windows Update zugreifen können.

Wenn automatische Root-Updates deaktiviert sind, müssen Administratoren Root-Zertifikate, denen Windows vertraut, manuell verwalten. Vertrauenswürdige Stammzertifikate können mithilfe von Gruppenrichtlinien an Computer verteilt werden, auf denen Windows ausgeführt wird. Weitere Informationen zum Verwalten der von Windows vertrauenswürdigen Stammzertifikate finden Sie auf der folgenden Microsoft-Website:

http://technet.microsoft.com/en-us/library/cc754841.aspx Weitere Informationen zur Vertrauensüberprüfung von Windows-Zertifikaten finden Sie auf den folgenden Microsoft-Webseiten:

Überprüfung der Zertifikatsvertrauenswürdigkeit

Übersicht über die Zertifikatsvertrauensliste : Klicken Sie für weitere Informationen zum Windows-Stammzertifikatprogramm auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

931125 Mitglieder des Windows-Stammzertifikatprogramms

Aktualisieren Sie die Ersatzinformationen

Dieses Update ersetzt das folgende Update:

2603469 Die Systemstatussicherung umfasst keine privaten CA-Schlüssel in Windows Server 2008 oder Windows Server 2008 R2

Download-Information

Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung.

Für alle unterstützten x86-basierten Versionen von Windows Vista

Laden Sie jetzt das Paket Windows6.0-KB2677070-x86.msu herunter.

Für alle unterstützten x64-basierten Versionen von Windows Vista

Laden Sie jetzt das Paket Windows6.0-KB2677070-x64.msu herunter.

Für alle unterstützten x86-basierten Versionen von Windows Server 2008

Laden Sie jetzt das Paket Windows6.0-KB2677070-x86.msu herunter.

Für alle unterstützten x64-basierten Versionen von Windows Server 2008

Laden Sie jetzt das Paket Windows6.0-KB2677070-x64 herunter.

Für alle unterstützten IA-64-basierten Versionen von Windows Server 2008

Laden Sie jetzt das Paket Windows6.0-KB2677070-ia64.msu herunter.

Für alle unterstützten x86-basierten Versionen von Windows 7

Laden Sie jetzt das Paket Windows6.1-KB2677070-x86.msu herunter.

Für alle unterstützten x64-basierten Versionen von Windows 7

Laden Sie jetzt das Paket Windows6.1-KB2677070-x64.msu herunter.

Für alle unterstützten x64-basierten Versionen von Windows Server 2008 R2

Laden Sie jetzt das Paket Windows6.1-KB2677070-x64.msu herunter.

Für alle unterstützten IA-64-basierten Versionen von Windows Server 2008 R2

Laden Sie jetzt das Paket Windows6.1-KB2677070-ia64.msu herunter.

Erscheinungsdatum: 12. Juni 2012

Für weitere Informationen zum Herunterladen von Microsoft-Supportdateien klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

119591 So erhalten Sie Microsoft-Supportdateien von Onlinediensten. Microsoft hat diese Datei auf Viren überprüft. Microsoft verwendete die aktuellste Virenerkennungssoftware, die zum Zeitpunkt der Veröffentlichung der Datei verfügbar war. Die Datei wird auf Servern mit erhöhter Sicherheit gespeichert, die dazu beitragen, unbefugte Änderungen an der Datei zu verhindern.

Dateiinformationen

Um eine Liste der in diesem Update bereitgestellten Dateien zu erhalten, laden Sie die Dateiinformationen für dieses Update 2677070 herunter.