Kurz nach Freigabe der Updates KB4480970 und KB4480960 für Windows 7 SP1 und Windows Server 2008 R2 SP2 am 8. Januar haben sich Leser bei heise online über gravierende Netzwerkprobleme beschwert. Sie konnten von Windows-7-Clients nicht mehr auf Netzwerkfreigaben (Shares) zugreifen. Auch Remoteverbindungen (per RDP) oder Zugriffe auf SQL Server 2016 wurden als gestört gemeldet.

Nachdem die Updates deinstalliert wurden, traten die Probleme nicht mehr auf. Der KB-Artikel zu Update KB4480970 nennt zwar eine gestörte Netzwerkverbindung aufgrund eines fehlerhaften Netzwerkkontrollers nach der Update-Installation als bekanntes Problem; dieses Problem schleppt Microsoft aber für bestimmte OEM-Netzwerktreiber seit April 2018 durch alle Windows-7-Rollup-Updates mit.

Rechteprobleme beim SMBv2-Zugriff auf Netzwerkressourcen

Eine Analyse des Netzwerkverkehrs mit WireShark, die ein betroffener Administrator durchführte und auf administrator.de veröffentlichte, brachte Licht ins Dunkel. Das Aushandeln einer SMBv2-Verbindung über das Netzwerk scheiterte mit einer STATUS_INVALID_HANDLE-Meldung für den betreffenden Nutzer.

Dieser Fehler tritt auf, wenn der Nutzer des Clients auf dem Host, der die Netzwerkfreigabe (Share) bereitstellt, zur Gruppe der Administratoren gehört. Offenbar verursachen die Updates im Netzwerk eine Rechtebegrenzung beim Zugriff auf eine Freigabe. Ist der Nutzer auf dem Client auch auf dem als Server fungierenden Host ein normaler Benutzer, klappt der Zugriff auf die Netzwerkfreigaben dagegen wohl problemlos.

Das Problem lässt sich lösen, indem die betreffende Richtlinie in einer administrativen Eingabeaufforderung mit dem Befehl reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f angepasst wird. Der Befehl deaktiviert die remote-Einschränkungen durch LocalAccountTokenFilterPolicy. Hinweise zu remote-Einschränkungen über LocalAccountTokenFilterPolicy finden sich in diesem Microsoft-Dokument. Nach einem Neustart sollte der Zugriff auf Netzwerkfreigaben wieder möglich sein.

Neuer KB-Artikel zum Thema erschienen

[Update 12.1.2019 15:16 Uhr:] Microsoft hat zum 12. Januar 2019 den KB-Artikel 4487345 zum Thema veröffentlicht. Dort wird auch ein Fix zum Download aus dem Microsoft Update Katalog bereitgestellt. Dieser Fix dürfte für Kunden von DATEV hilfreich sein, da deren Produkte laut diesem DATEV-Dokument betroffen sind.

Wichtig: Wer die Änderung am Registrierungseintrag LocalAccountTokenFilterPolicy vorgenommen hat, sollte aus Sicherheitsgründen folgenden Befehl in einer administrativen Eingabeaufforderung ausführen: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 0 /f

Dies deaktiviert die Änderung an der entsprechenden Richtlinie. Betroffene Administratoren sollten sich zudem Gedanken um die korrekte Zuordnung der Benutzerkonten zur Gruppe der Standardbenutzer machen und keine Konten aus der Gruppe der Administratoren für Zugriffe auf Netzwerkfreigaben zulassen. Dann sollten Zugriffe auf Netzwerkfreigaben auch ohne den Fix von Microsoft funktionieren. (anw)