Možné řešení chyby zabezpečení služby DNS umožňující podvodnou identifikaci na serverech ISA Server 2000 a Proxy Server 2.0, která je popsána v bulletinu zabezpečení MS04-039

Překlady článku Překlady článku
ID článku: 889189 - Produkty, které se vztahují k tomuto článku.

Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zálohovat. Je také nutné předem vědět, jak registr obnovit v případě, že nastanou potíže. Další informace o zálohování, obnovování a úpravách registru naleznete v následujícím článku znalostní báze společnosti Microsoft:
256986 Popis registru systému Microsoft Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Produkty Microsoft Internet Security and Acceleration (ISA) Server 2000 a Microsoft Proxy Server 2.0 jsou ohroženy chybou zabezpečení, která je popsána v bulletinu zabezpečení MS04-039. Mezipaměť služby DNS na serverech ISA Server 2000 s aktualizací Service Pack 1 (SP1), ISA Server 2000 s aktualizací Service Pack 2 (SP2) a Proxy Server 2.0 s aktualizací Service Pack 1 (SP1) může být napadena metodou podvodné identifikace.

Tato chyba zabezpečení je popsána v bulletinu zabezpečení MS04-039. Tento bulletin také obsahuje odkazy umožňující stáhnout aktualizace zabezpečení, které tento problém odstraňují. V tomto článku jsou popsány kroky, jejichž pomocí můžete své systémy ochránit do doby, než budete moci nainstalovat tyto aktualizace zabezpečení.

Bulletin zabezpečení MS04-039

ÚVOD

Tento článek popisuje možné řešení chyby zabezpečení umožňující napadení mezipaměti služby DNS metodou podvodné identifikace. Tato chyba je popsána v bulletinu zabezpečení MS04-039, který můžete zobrazit klepnutím na následující odkaz:
Bulletin zabezpečení MS04-039

Další informace

Bulletin zabezpečení MS04-039 popisuje chybu zabezpečení, při jejímž zneužití by mohl uživatel se zlými úmysly provést podvodnou identifikaci důvěryhodného obsahu z Internetu. Uživatel by se tedy mohl domnívat, že navštěvuje důvěryhodný web v Internetu, zatímco ve skutečnosti by navštěvoval nebezpečný web vytvořený se zlými úmysly. Pokud by chtěl útočník tuto chybu zabezpečení zneužít, musel by nejprve přesvědčit uživatele, aby zobrazil nebezpečný obsah nebo klepnul na odkaz na takový obsah.

Tento problém můžete vyřešit instalací aktualizace zabezpečení popsané v bulletinu zabezpečení MS04-039.
Bulletin zabezpečení MS04-039


Chcete-li se tomuto problému dočasně vyhnout, použijte některý z následujících postupů.

Produkt Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition nainstalovaný na diskovém poli

Upozornění: Pokud pomocí modulu snap-in ADSI Edit, nástroje LDP nebo libovolného jiného klienta protokolu LDAP verze 3 nesprávně změníte atributy objektů služby Active Directory, můžete tím způsobit velmi vážné problémy. Tyto problémy mohou vést k nutnosti přeinstalování systému Microsoft Windows 2000 Server či Microsoft Windows Server 2003 nebo serveru Microsoft Exchange 2000 Server či Microsoft Exchange Server 2003. V některých případech může být nutné přeinstalovat systém Windows i server Exchange. Společnost Microsoft nezaručuje, že problémy, které mohou být způsobeny nesprávnou úpravou atributů objektů služby Active Directory, bude možné vyřešit. Úpravu těchto atributů provádíte na vlastní nebezpečí.

Chcete-li se dočasně vyhnout tomuto problému u serveru ISA Server 2000 s aktualizací Service Pack 1 (SP1) nebo ISA Server 2000 s aktualizací Service Pack 2 (SP2) nainstalovaného na podnikovém diskovém poli, proveďte tyto kroky:
  1. Spusťte nástroj LDP. To provedete tak, že klepnete na tlačítko Start a na příkaz Spustit, zadáte příkaz ldp.exe a klepnete na tlačítko OK.

    Poznámka: Nástroj Ldp.exe je součástí nástrojů pro podporu systému Microsoft Windows. Chcete-li nástroje pro podporu nainstalovat do systému Windows 2000, poklepejte na disku CD-ROM se systémem Windows 2000 na soubor Setup.exe ve složce Support\Tools. Chcete-li nástroje pro podporu nainstalovat do systému Windows Server 2003, poklepejte na disku CD-ROM se systémem Windows Server 2003 ve složce Support\Tools na soubor Supptools.msi.
  2. Připojte se k adresářové službě Active Directory. To lze provést následovně:
    1. V nabídce Connection (Připojení) klepněte na příkaz Connect (Připojit), pole Server ponechejte prázdné a klepněte na tlačítko OK.
    2. V nabídce Connection (Připojení) klepněte na příkaz Bind (Vázat).
    3. Do pole User (Uživatel) zadejte název uživatelského účtu, který má oprávnění k zápisu do objektů serveru ISA Server v adresáři služby Active Directory. Obvykle se jedná o účet správce domény.
    4. Do pole Password (Heslo) zadejte heslo odpovídající danému uživatelskému účtu s oprávněními k zápisu do objektů serveru ISA Server v adresáři služby Active Directory.
    5. Do pole Domain (Doména) zadejte název domény, v níž je umístěn počítač pracující jako ISA Server, a potom klepněte na tlačítko OK.
    6. Ověřte, zda se v pravém podokně zobrazila následující zpráva:
      Authenticated as dn: uživatelské_jméno (Ověřený uživatel: dn: uživatelské_jméno).


      Poznámka: Pokud se tato zpráva nezobrazila, nepodařilo se uživatelské jméno ověřit. Bez úspěšného ověření službou Active Directory nebude možné pokračovat.
  3. Zobrazte větev doménové struktury služby Active Directory. To lze provést takto:
    1. V nabídce View (Zobrazit) klepněte na příkaz Tree (Větev doménové struktury) a potom klepněte na tlačítko OK.
    2. V levém podokně rozbalte položku DC=priklad,DC=cz, přičemž text priklad.cz představuje název vaší domény.
    3. Poklepáním rozbalte objekt CN=System,DC=priklad,DC=cz.
    4. Poklepáním rozbalte objekt CN=Fpc,CN=System,DC=priklad,DC=cz.
    5. Poklepáním rozbalte objekt CN=Arrays,CN=Fpc,CN=System,DC=priklad,DC=cz.
  4. Získejte přístup ke každému objektu zásad pole. To lze provést následovně:
    1. U každého objektu pole poklepáním rozbalte objekt CN=Identifikátor_GUID_pole,CN=Arrays,CN=Fpc,CN=System,DC=priklad,DC=cz.

      Zástupný text Identifikátor_GUID_pole nahraďte identifikátorem GUID, který se zobrazí u objektu Arrays (Pole). Tento identifikátor se bude podobat následujícímu příkladu:
      {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
    2. Poklepáním rozbalte objekt CN=ArrayPolicy,CN=Identifikátor_GUID_pole,CN=Arrays,CN=Fpc,CN=System,DC=priklad,DC=cz.
  5. Změňte velikost mezipaměti služby DNS pro službu Firewall. To lze provést takto:
    1. Pod objektem CN=ArrayPolicy,CN=Identifikátor_GUID_pole,CN=Arrays,CN=Fpc,CN=System,DC=priklad,DC=cz klepněte pravým tlačítkem myši na objekt CN=Proxy-WSP,CN=ArrayPolicy,CN=Identifikátor_GUID_pole,CN=Arrays,CN=Fpc,CN=System,DC=priklad,DC=cz a potom klepněte na příkaz Modify (Změnit).
    2. V poli Dn ponechejte výchozí hodnotu, zadejte hodnotu msFPCDnsCacheSize do pole Attribute (Atribut) a potom zadejte hodnotu 0 (nula) do pole Values (Hodnoty).
    3. V části Operation (Operace) klepněte na možnost Replace (Nahradit), klepněte na možnost Enter (Zadat) a potom na možnost Run (Spustit).
    Pokud bude operace úspěšná, zobrazí se v pravém podokně informace podobné následujícím:
    ***Call Modify... ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=priklad,DC=cz',[1] attrs); Modified 
  6. Změňte velikost mezipaměti služby DNS pro službu Web Proxy. To lze provést podle pokynů v kroku 5. Všechny výskyty textu CN=Proxy-WSP je ale třeba nahradit textem CN=WebProxy.
  7. Zopakováním kroků 4 až 6 změňte velikost mezipaměti služby DNS pro služby Firewall a Web Proxy u každého z objektů CN=Identifikátor_GUID_pole, který se zobrazí pod objektem CN=Arrays.
  8. Ukončete nástroj LDP.
  9. Restartujte služby serveru ISA Server v organizaci. To lze provést následovně:
    1. Spusťte nástroj ISA Management. To provedete tak, že klepnete na tlačítko Start, přejdete na příkaz Programy, potom na položku Microsoft ISA Server a nakonec klepnete na položku ISA Management.
    2. Rozbalte položku Servers and Arrays (Servery a pole), rozbalte požadované pole, rozbalte položku Monitoring (Sledování) a potom klepněte na položku Services (Služby).
    3. Klepněte pravým tlačítkem myši na službu Web Proxy serveru ISA Server a potom klepněte na příkaz Stop (Zastavit).
    4. Po úspěšném zastavení služby znovu klepněte na stejnou službu pravým tlačítkem myši a potom klepněte na příkaz Start (Spustit).
    5. Klepněte pravým tlačítkem myši na službu Firewall serveru ISA Server a potom klepněte na příkaz Stop (Zastavit).
    6. Po úspěšném zastavení služby znovu klepněte na stejnou službu pravým tlačítkem myši a potom klepněte na příkaz Start (Spustit).
    7. Zopakováním kroků c až f restartujte služby všech serverů ISA v poli.
    8. Zopakováním kroků b až g restartujte služby všech serverů ISA v ostatních polích.
  10. Ukončete konzolu MMC (Microsoft Management Console) s modulem snap-in ISA Management.

Produkt Microsoft Internet Security and Acceleration Server 2000 Standard Edition nebo ISA Server 2000 Enterprise Edition v samostatném režimu

Upozornění: Použijete-li Editor registru nesprávně, můžete způsobit vážné problémy, které mohou vyžadovat přeinstalování operačního systému. Společnost Microsoft nemůže zaručit, že problémy vzniklé v důsledku nesprávného použití Editoru registru budete moci vyřešit. Editor registru používáte na vlastní nebezpečí.

Chcete-li se dočasně vyhnout tomuto problému v počítači, ve kterém je nainstalován produkt ISA Server 2000 Standard Edition (s aktualizací SP1) nebo ISA Server 2000 Standard Edition s aktualizací SP2, postupujte takto:
  1. Spusťte Editor registru. To provedete tak, že klepnete na tlačítko Start a na příkaz Spustit, zadáte příkaz regedit a potom klepnete na tlačítko OK.
  2. Vyhledejte následující podklíč registru a klepněte na něj:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<Identifikátor_GUID_pole>\ArrayPolicy
    Zástupný text Identifikátor_GUID_pole představuje identifikátor GUID, který se zobrazí pod podklíčem registru Arrays. Tento identifikátor se bude podobat následujícímu příkladu:
    {88F55145-3365-4D10-8DE5-FD433537CFC6}
  3. Změňte velikost mezipaměti služby DNS pro službu Web Proxy na hodnotu nula. To lze provést takto:
    1. Pod podklíčem ArrayPolicy klepněte na podklíč WebProxy.
    2. V pravém podokně klepněte pravým tlačítkem myši na položku msFPCDnsCacheSize a potom klepněte na příkaz Změnit.
    3. Do pole Údaj hodnoty zadejte hodnotu 0 (nula) a potom klepněte na tlačítko OK.
  4. Změňte velikost mezipaměti služby DNS pro službu Firewall na hodnotu nula. To lze provést takto:
    1. Pod podklíčem ArrayPolicy klepněte na podklíč Proxy-WSP.
    2. V pravém podokně klepněte pravým tlačítkem myši na položku msFPCDnsCacheSize a potom klepněte na příkaz Změnit.
    3. Do pole Údaj hodnoty zadejte hodnotu 0 (nula) a potom klepněte na tlačítko OK.
  5. Ukončete Editor registru.
  6. Spusťte nástroj ISA Management. To provedete tak, že klepnete na tlačítko Start, přejdete na příkaz Programy, potom na položku Microsoft ISA Server a nakonec klepnete na položku ISA Management.
  7. Rozbalte položku Servers and Arrays (Servery a pole), rozbalte položku pro daný server, rozbalte položku Monitoring (Sledování) a potom klepněte na položku Services (Služby).
  8. V nabídce View (Zobrazit) klepněte na příkaz Advanced (Upřesnit).
  9. Klepněte pravým tlačítkem myši na službu Web Proxy a potom klepněte na příkaz Stop (Zastavit).
  10. Po úspěšném zastavení služby znovu klepněte na stejnou službu pravým tlačítkem myši a potom klepněte na příkaz Start (Spustit).
  11. Klepněte pravým tlačítkem myši na službu Firewall a potom klepněte na příkaz Stop (Zastavit).
  12. Po úspěšném zastavení služby znovu klepněte na stejnou službu pravým tlačítkem myši a potom klepněte na příkaz Start (Spustit).

Produkt Microsoft Proxy Server 2.0

Upozornění: Použijete-li Editor registru nesprávně, můžete způsobit vážné problémy, které mohou vyžadovat přeinstalování operačního systému. Společnost Microsoft nemůže zaručit, že problémy vzniklé v důsledku nesprávného použití Editoru registru budete moci vyřešit. Editor registru používáte na vlastní nebezpečí.

Chcete-li se dočasně vyhnout tomuto problému v počítači, ve kterém je nainstalován produkt Microsoft Proxy Server 2.0 s aktualizací Service Pack 1 (SP1), proveďte následující kroky:
  1. Spusťte Editor registru. To provedete tak, že klepnete na tlačítko Start a na příkaz Spustit, zadáte příkaz regedit a potom klepnete na tlačítko OK.
  2. Vyhledejte následující podklíč registru a klepněte na něj:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
  3. Změňte velikost mezipaměti služby DNS pro službu Web Proxy na hodnotu nula. To lze provést takto:
    1. V pravém podokně klepněte na položku DnsCacheSize a potom klepněte na příkaz Změnit.
    2. Do pole Údaj hodnoty zadejte hodnotu 0 (nula) a klepněte na tlačítko OK.
  4. Ukončete Editor registru.
  5. Spusťte nástroj pro správu serveru proxy. To provedete tak, že klepnete na tlačítko Start, přejdete na příkaz Programy, potom na položku Microsoft Proxy Server a nakonec klepnete na položku Microsoft Management Console.
  6. Rozbalte uzel pro počítač, ve kterém je nainstalován produkt Proxy Server 2.0 s aktualizací SP1.
  7. Klepněte na položku Winsock proxy a potom v nabídce Action (Akce) klepněte na příkaz Stop (Zastavit).
  8. Po úspěšném zastavení služby klepněte v nabídce Action (Akce) na příkaz Start (Spustit).
  9. Klepněte na položku Web Proxy a potom v nabídce Action (Akce) klepněte na příkaz Stop (Zastavit).
  10. Po úspěšném zastavení služby klepněte v nabídce Action (Akce) na příkaz Start (Spustit).
Poznámka: K dispozici je skript, který umožňuje kroky popsané v tomto článku zautomatizovat. Tento skript je určen pro produkty ISA Server 2000 a Proxy Server 2.0. Produkt Microsoft Internet Security and Acceleration (ISA) Server 2004 není touto chybou zabezpečení ohrožen a tento skript pro něj není určen. Tento skript můžete získat z následujícího webu:
http://isatools.org/ms04-039.js


Chcete-li vymazat mezipaměť služby Web Proxy serveru ISA Server 2000, použijte nástroj Clrcache.cmd. Tento nástroj můžete získat z následujícího webu:
http://isatools.org/clrcache.cmd
Společnost Microsoft vám poskytováním informací o kontaktech na jiné výrobce usnadňuje získání odborné pomoci. Tyto kontaktní informace se mohou bez upozornění změnit. Společnost Microsoft neručí za správnost těchto informací o kontaktech.

Další informace o vymazání mezipaměti služby Web Proxy na serveru Proxy Server 2.0 získáte v následujícím článku znalostní báze společnosti Microsoft:
811086 Návod k vymazání mezipaměti na serveru Microsoft Proxy Server 2.0 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)


Informace o časově omezené podpoře produktu Proxy Server 2.0 můžete získat na následujícím webu společnosti Microsoft:
http://www.microsoft.com/isaserver/evaluation/previousversions/ending.mspx

Vlastnosti

ID článku: 889189 - Poslední aktualizace: 20. července 2006 - Revize: 4.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 1
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Proxy Server 2.0 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
Klíčová slova: 
kbqfe kbhotfixserver kbfirewall kbinfo kbbug kbprb KB889189

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com