Sådan løses det problem med DNS-cacheforfalskning i ISA Server 2000 og Proxy Server 2.0, der er beskrevet i Microsoft-sikkerhedsbulletin MS04-039

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 889189 - Få vist de produkter, som denne artikel refererer til.

Vigtigt! Denne artikel indeholder oplysninger om redigering af registreringsdatabasen. Inden du redigerer registreringsdatabasen, skal du tage en sikkerhedskopi af den, og du skal være klar over, hvordan du kan gendanne den, hvis der opstår problemer. Oplysninger om, hvordan du sikkerhedskopierer, gendanner og redigerer registreringsdatabasen, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
256986 Beskrivelse af Microsoft Windows-registreringsdatabasen
Udvid alle | Skjul alle

På denne side

Sammenfatning

Microsoft Internet Security and Acceleration (ISA) Server 2000 og Microsoft Proxy Server 2.0 er berørt af det sikkerhedshul, der er beskrevet i Microsoft-sikkerhedsbulletin MS04-039. I dette scenario kan DNS-cachen i ISA Server 2000 Service Pack 1 (SP1), ISA Server 2000 Service Pack 2 (SP2) eller Proxy Server 2.0 Service Pack 1 (SP1) blive udsat for forfalskning.

Dette sikkerhedshul er beskrevet i Microsoft-sikkerhedsbulletin MS04-039. Denne Microsoft-sikkerhedsbulletin indeholder også downloadlinks til de sikkerhedsopdateringer, der løser dette problem. Denne artikel indeholder vejledning i, hvordan du kan beskytte dine systemer mod dette problem, indtil du kan installere sikkerhedsopdateringen.

Microsoft-sikkerhedsbulletin MS04-039

INTRODUKTION

Denne artikel beskriver, hvordan du kan undgå det sikkerhedshul i DNS-cachen, der er beskrevet i følgende Microsoft-sikkerhedsbulletin:
Microsoft-sikkerhedsbulletin MS04-039

Yderligere Information

I Microsoft-sikkerhedsbulletin MS04-039 beskrives et sikkerhedshul, som en ondsindet hacker kan udnytte til at forfalske internetindhold, der er tillid til. I dette scenario kan brugerne blive vildledt til at tro, at de besøger et websted, der er tillid til, mens de rent faktisk besøger et websted, der er oprettet af ondsindede grunde. For at kunne udnytte dette sikkerhedshul skal hackeren først overtale brugeren til at åbne det skadelige indhold eller klikke på et hyperlink til skadeligt indhold.

Du kan løse dette problem ved at installere den sikkerhedsopdatering, som er beskrevet i Microsoft-sikkerhedsbulletin MS04-039.
Microsoft-sikkerhedsbulletin MS04-039


Du kan undgå at få dette problem ved at bruge en af følgende metoder.

Til Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition, der er installeret i et array

Advarsel! Hvis du bruger snap-in-programmet ADSI Edit, hjælpeværktøjet LDP eller en anden LDAP version 3-klient, og du redigerer attributterne for Active Directory-objekter forkert, kan du få store problemer. Disse problemer kan kræve geninstallation af Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 eller både Windows og Exchange. Microsoft kan ikke garantere, at problemer, der opstår efter forkert redigering af Active Directory-objektattributter, kan løses. Ændring af disse attributter sker på egen risiko.

Hvis du skal løse dette problem for ISA Server 2000 Service Pack 1 (SP1) eller ISA Server 2000 Service Pack 2 (SP2) i et firmaarray, skal du følge disse trin:
  1. Start LDP-værktøjet. Det gør du ved at klikke på Start, klikke på Kør, skrive ldp.exe og derefter klikke på OK.

    Bemærk! Ldp.exe er medtaget i Microsoft Windows-supportværktøjer. Du kan installere Windows-supportværktøjerne i Windows 2000 ved at dobbeltklikke på Setup.exe i mappen Support\Tools på cd'en med Windows 2000. Du kan installere Windows-supportværktøjerne i Windows Server 2003 ved at dobbeltklikke på Supptools.msi i mappen Support\Tools på cd'en med Windows Server 2003.
  2. Opret forbindelse til katalogtjenesten Active Directory. Det gør du ved at følge disse trin:
    1. Klik på Opret forbindelse i menuen Forbindelse, lad boksen Server være tom, og klik derefter på OK.
    2. Klik på Bind i menuen Forbindelse.
    3. Anvend boksen Bruger til at skrive navnet på en brugerkonto, der har skriveadgang til ISA Server-objekter i Active Directory. Der er typisk en domæneadministratorkonto.
    4. Anvend boksen Adgangskode til at skrive adgangskoden til den brugerkonto, der har skriveadgang til ISA Server-objekter i Active Directory.
    5. Anvend boksen Domæne til at skrive det domæne, hvor ISA Server-computeren er placeret, og klik derefter på OK.
    6. I højre rude skal du sikre dig, at følgende meddelelse vises:
      Godkendt som dn:'brugernavn'.


      Bemærk! Hvis denne meddelelse ikke vises, er du ikke godkendt. Du kan ikke fortsætte, før du er blevet godkendt i Active Directory.
  3. Åbn Active Directory-træet. Det gør du ved at følge disse trin:
    1. Klik på Træ i menuen Vis, og klik derefter på OK.
    2. I venstre rude skal du udvide DC=eksempel,DC=com, hvor eksempel.com er navnet på dit domæne.
    3. Dobbeltklik på CN=System,DC=eksempel,DC=com for at udvide dette objekt.
    4. Dobbeltklik på CN=Fpc,CN=System,DC=eksempel,DC=com for at udvide dette objekt.
    5. Dobbeltklik på CN=Arrays,CN=Fpc,CN=System,DC=eksempel,DC=com for at udvide dette objekt.
  4. Åbn hvert enkelt arraypolitikobjekt. Det gør du ved at følge disse trin:
    1. Under hvert arrayobjekt skal du dobbeltklikke på CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=eksempel,DC=com for at udvide dette objekt.

      Erstat ArrayGUID med et GUID, der vises under objektet Arrays. Dette GUID minder om følgende:
      {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
    2. Dobbeltklik på CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=eksempel,DC=com for at udvide dette objekt.
  5. Rediger firewalltjenestens DNS-cachestørrelse. Det gør du ved at følge disse trin:
    1. Under CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=eksempel,DC=com skal du højreklikke på CN=Proxy-WSP,CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=eksempel,DC=com og derefter klikke på Rediger.
    2. Behold standardværdien i boksen Dn, skriv msFPCDnsCacheSize i boksen Attribut, og skriv derefter 0 (nul) i boksen Værdier.
    3. Klik på Erstat under Handling, klik på Enter, og klik derefter på Kør.
    Hvis handlingen lykkes, vises oplysninger i stil med følgende i den højre rude:
    ***Call Modify... ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=eksempel,DC=com',[1] attrs); Modified 
  6. Rediger webproxytjenestens DNS-cachestørrelse. Det gør du ved at følge vejledningen i trin 5. Du skal dog erstatte alle forekomster af CN=Proxy-WSP med CN=WebProxy.
  7. Følg trin 4 til 6 for at redigere firewalltjenestens DNS-cachestørrelse og webproxytjenestens DNS-cachestørrelse for alle de CN=ArrayGUID-objekter, der vises under objektet CN=Arrays.
  8. Afslut LDP.
  9. Genstart ISA Server-tjenesterne i jeres firma. Det gør du ved at følge disse trin:
    1. Start værktøjet ISA Management. Det gør du ved at klikke på Start, pege på Programmer, pege på Microsoft ISA Server og derefter klikke på ISA Management.
    2. Udvid Servers and Arrays, udvid dit array, udvid Monitoring, og klik derefter på Services.
    3. Højreklik på en ISA Server's Web Proxy-tjeneste, og klik derefter på Stop.
    4. Når tjenesten er standset korrekt, skal du højreklikke på den samme tjeneste og derefter klikke på Start.
    5. Højreklik på en ISA Server's Firewall-tjeneste, og klik derefter på Stop.
    6. Når tjenesten er standset korrekt, skal du højreklikke på den samme tjeneste og derefter klikke på Start.
    7. Følg trin c til f for at genstarte tjenesterne for alle ISA-serverne i dit array.
    8. Følg trin b til g for at genstarte tjenesterne for alle ISA-serverne i dine øvrige arrays.
  10. Afslut snap-in-programmet ISA Management Microsoft Management Console (MMC).

Til enkeltstående Microsoft Internet Security and Acceleration Server 2000 Standard Edition eller ISA Server 2000 Enterprise Edition

Advarsel! Hvis du bruger Registreringseditor forkert, kan der opstå alvorlige problemer, som bevirker, at du skal geninstallere operativsystemet. Microsoft kan ikke garantere, at problemer, der skyldes forkert brug af Registreringseditor, kan løses. Brug af Registreringseditor sker på egen risiko.

Hvis du skal løse dette problem på en computer, der kører ISA Server 2000 Standard Edition (SP1) eller ISA Server 2000 Standard Edition SP2, skal du følge disse trin:
  1. Start Registreringseditor. Det gør du ved at klikke på Start, klikke på Kør, skrive regedit og derefter klikke på OK.
  2. Find og klik på følgende undernøgle i registreringsdatabasen:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<ArrayGUID>\ArrayPolicy
    Erstat ArrayGUID med det GUID, der vises under nøglen Arrays i registreringsdatabasen. Dette GUID minder om følgende:
    {88F55145-3365-4D10-8DE5-FD433537CFC6}
  3. Indstil værdien af webproxytjenestens DNS-cachestørrelse til nul. Det gør du ved at følge disse trin:
    1. Klik på WebProxy under ArrayPolicy.
    2. Højreklik på msFPCDnsCacheSize i højre rude, og klik derefter på Rediger.
    3. I boksen Værdidata skal du skrive 0 (nul) og derefter klikke på OK.
  4. Indstil værdien af firewalltjenestens DNS-cachestørrelse til nul. Det gør du ved at følge disse trin:
    1. Klik på Proxy-WSP under ArrayPolicy.
    2. Højreklik på msFPCDnsCacheSize i højre rude, og klik derefter på Rediger.
    3. I boksen Værdidata skal du skrive 0 (nul) og derefter klikke på OK.
  5. Afslut Registreringseditor.
  6. Start værktøjet ISA Management. Det gør du ved at klikke på Start, pege på Programmer, pege på Microsoft ISA Server og derefter klikke på ISA Management.
  7. Udvid Servers and Arrays, udvid din server, udvid Monitoring, og klik derefter på Services.
  8. Klik på Advanced i menuen View.
  9. Højreklik på webproxytjenesten, og klik derefter på Stop.
  10. Når tjenesten er standset korrekt, skal du højreklikke på den samme tjeneste og derefter klikke på Start.
  11. Højreklik på firewalltjenesten, og klik derefter på Stop.
  12. Når tjenesten er standset korrekt, skal du højreklikke på den samme tjeneste og derefter klikke på Start.

Til Microsoft Proxy Server 2.0

Advarsel! Hvis du bruger Registreringseditor forkert, kan der opstå alvorlige problemer, som bevirker, at du skal geninstallere operativsystemet. Microsoft kan ikke garantere, at problemer, der skyldes forkert brug af Registreringseditor, kan løses. Brug af Registreringseditor sker på egen risiko.

Hvis du skal løse dette problem på en computer, der kører Microsoft Proxy Server 2.0 Service Pack 1 (SP1), skal du følge disse trin:
  1. Start Registreringseditor. Det gør du ved at klikke på Start, klikke på Kør, skrive regedit og derefter klikke på OK.
  2. Find og klik på følgende nøgle i registreringsdatabasen:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
  3. Indstil værdien af webproxytjenestens DNS-cachestørrelse til nul. Det gør du ved at følge disse trin:
    1. Højreklik på DnsCacheSize i højre rude, og klik derefter på Rediger.
    2. I boksen Værdidata skal du skrive 0 (nul) og derefter klikke på OK.
  4. Afslut Registreringseditor.
  5. Start proxystyringsværktøjet. Det gør du ved at klikke på Start, pege på Programmer, pege på Microsoft Proxy Server og derefter klikke på Microsoft Management Console.
  6. Udvid noden for den computer, der kører Proxy Server 2.0 SP1.
  7. Klik på Winsock proxy, og klik derefter på Stop i menuen Handling.
  8. Når tjenesten er standset korrekt, skal du klikke på Start i menuen Handling.
  9. Klik på Web Proxy, og klik derefter på Stop i menuen Handling menu.
  10. Når tjenesten er standset korrekt, skal du klikke på Start i menuen Handling.
Bemærk! Du kan bruge et script, der automatiserer de trin, der er beskrevet i denne artikel. Scriptet er designet til ISA Server 2000 og Proxy Server 2.0. Microsoft Internet Security and Acceleration (ISA) Server 2004 er ikke berørt af dette sikkerhedshul, og dette script er ikke designet til at kunne køre på ISA Server 2004. Hvis du vil hente scriptet, skal du besøge følgende websted:
http://isatools.org/ms04-039.js


Hvis du vil rydde ISA Server 2000-webproxycachen, skal du bruge værktøjet Clrcache.cmd. Hvis du vil hente dette værktøj, skal du besøge følgende websted:
http://isatools.org/clrcache.cmd
Kontaktoplysninger til tredjeparter er taget med for at gøre det lettere for dig at finde den ønskede tekniske support. Disse kontaktoplysninger kan ændres uden varsel. Microsoft kan ikke garantere, at kontaktoplysningerne vedrørende tredjeparter er nøjagtige.

Yderligere oplysninger om rydning af webproxycachen i Proxy Server 2.0 finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
811086 Sådan ryddes cachen i Microsoft Proxy Server 2.0 (artiklen er evt. på engelsk)


Yderligere oplysninger om livscyklussen for produktsupport på Proxy Server 2.0 finder du ved at besøge følgende Microsoft-websted:
http://www.microsoft.com/isaserver/evaluation/previousversions/ending.mspx

Egenskaber

Artikel-id: 889189 - Seneste redigering: 3. december 2007 - Redigering: 3.1
Oplysningerne i denne artikel gælder:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 1
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Proxy Server 2.0 Standard
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
Nøgleord: 
kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com