You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-57

[MS/Windows 2000 Server] Sicherheitslücke durch Leerpasswort
(2000-12-21 08:25:24+00) Druckversion

Quelle: http://www.microsoft.com/technet/security/bulletin/MS00-099.asp

Bei der Installation des Domänencontrollers mittels dem Tool 'Configure Your Server', wird für das Passwort des 'Directory Service Restore Mode' ein Leerpasswort gesetzt.

Betroffene Systeme

  • Windows 2000 Server
  • Windows 2000 Advanced Server

    Beschreibung
    Bei der Installation des Domänencontrollers mittels dem Tool 'Configure Your Server', wird für das Passwort des 'Directory Service Restore Mode' ein Leerpasswort gesetzt. Ein User mit physikalischem Zugang zum Domänencontroller kann das System in diese für Fehlersuche und Wiederherstellung ausgelegte Betriebsart booten. Nach Authentifikation mit dem Leerpasswort verfügt der User über administrative Befugnis.

    Da die 'Recovery Console', die ebenfalls zur Fehlerbehebung dient, das Passwort des 'Directory Services Restore Mode' übernimmt, ist auch die 'Recovery Console' von dieser Sicherheitslücke betroffen.

    Von dieser Schwachstelle sind mittels 'DCPROMO' installierte Domänencontroller nicht betroffen.

    Gefahrenpotential
    hoch

    Maßnahmen
    Microsoft stellt in Kürze (?) einen Patch zur Behebung dieser Schwachstelle zur Verfügung:

    Im Microsoft KB Artikel Q239803 ist beschrieben, wie das Passwort für die 'Recovery Console' und für den 'Directory Service Restore Mode' verändert wird.

    Weitere Information zu diesem Thema

    (tf)

    Hinweis
    Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

    Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

    Vorherige Meldung Weitere Meldungen... Nächste Meldung

    Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.