Umgehungsmöglichkeiten für die im Microsoft Security Bulletin MS04-039 beschriebene Sicherheitsanfälligkeit durch DNS-Spoofing in ISA Server 2000 und Proxy Server 2.0

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 889189 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
889189 How to work around the ISA Server 2000 and Proxy Server 2.0 DNS spoofing vulnerability described in Microsoft Security Bulletin MS04-039

Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Microsoft Internet Security & Acceleration (ISA) Server 2000 und Microsoft Proxy Server 2.0 sind von der im Microsoft Security Bulletin MS04-039 beschriebenen Sicherheitsanfälligkeit betroffen. Bei diesem Szenario wird im DNS-Cache in ISA Server 2000 Service Pack 1 (SP1), ISA Server 2000 Service Pack 2 (SP2) oder Proxy Server 2.0 Service Pack 1 (SP1) schädlicher Webinhalt abgelegt.

Diese Sicherheitsanfälligkeit wird im Microsoft Security Bulletin MS04-039 näher beschrieben. Das Security Bulletin enthält außerdem Download-Links zu den Sicherheitsupdates, mit denen dieses Problem behoben wird. Der vorliegende Artikel enthält praktische Hinweise dazu, wie Sie Ihre Systeme vor diesem Problem schützen können, falls Sie das Sicherheitsupdate nicht gleich installieren können.

Microsoft Security Bulletin MS04-039

Einführung

Der vorliegende Artikel nennt Umgehungsmöglichkeiten für die Sicherheitsanfälligkeit im DNS-Cache, die im folgenden Microsoft Security Bulletin beschrieben ist:
Microsoft Security Bulletin MS04-039

Weitere Informationen

Im Microsoft Security Bulletin MS04-039 wird eine Sicherheitsanfälligkeit beschrieben, aufgrund derer ein böswilliger Benutzer vertrauenswürdigen Internetinhalt vortäuschen könnte. Bei diesem Szenario könnten Benutzer zu der Annahme verleitet werden, dass es sich bei einer von ihnen besuchten Website um eine vertrauenswürde Website handelt. Tatsächlich aber wurde die Website in böswilliger Absicht erstellt. Um diese Sicherheitsanfälligkeit ausnutzen zu können, muss ein Angreifer den Benutzer erst dazu verleiten, den in böswilliger Absicht erstellten Inhalt anzuzeigen oder auf einen Link zu dem betreffenden Inhalt zu klicken.

Um dieses Problem zu beheben, installieren Sie das im Microsoft Security Bulletin MS04-039 beschriebene Sicherheitsupdate.
Microsoft Security Bulletin MS04-039


Wenden Sie eine der folgenden Methoden an, um dieses Problem zu umgehen.

Bei Installation von Microsoft ISA Server 2000 Enterprise Edition in einem Array

Achtung: Wenn Sie das ADSI Edit-Snap-In, das LDP-Dienstprogramm oder einen anderen LDAP 3-Client verwenden und die Attribute von Active Directory-Objekten unkorrekt ändern, kann dies schwerwiegende Probleme zur Folge haben. Diese Probleme können eine Neuinstallation von Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 oder sowohl von Windows als auch von Exchange erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer unkorrekten Änderung von Active Directory-Objekten herrühren, behoben werden können. Das Ändern dieser Attribute erfolgt auf Ihr eigenes Risiko.

Um das Problem bei ISA Server 2000 Service Pack 1 (SP1) oder ISA Server 2000 Service Pack 2 (SP2) in einem Enterprise Array zu umgehen, gehen Sie folgendermaßen vor:
  1. Starten Sie das LDP-Tool. Klicken Sie hierzu auf Start, auf Ausführen, geben Sie ldp.exe ein, und klicken Sie anschließend auf OK.

    Hinweis: Die Datei "Ldp.exe" ist Bestandteil der Microsoft Windows-Supporttools. Um die Windows-Supporttools unter Windows 2000 zu installieren, doppelklicken Sie auf die Datei Setup.exe im Ordner "Support\Tools" auf der Windows 2000-CD. Um die Windows-Supporttools unter Windows Server 2003 zu installieren, doppelklicken Sie auf die Datei Suptools.msi im Ordner "Support\Tools" auf der Windows Server 2003-CD.
  2. Stellen Sie eine Verbindung zum Active Directory-Verzeichnisdienst her. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie im Menü Connection (Verbindung) auf Connect (Verbinden), lassen Sie das Feld Server leer, und klicken Sie anschließend auf OK.
    2. Klicken Sie im Menü Connection (Verbindung) auf Bind (Binden).
    3. Geben Sie im Feld User (Benutzer) den Namen eines Benutzerkontos ein, das über Schreibzugriff auf die ISA Server-Objekte in Active Directory verfügt. Normalerweise handelt es sich dabei um ein Domänenadministratorkonto.
    4. Geben Sie im Feld Passwort (Kennwort) das Kennwort für das Benutzerkonto ein, das über Schreibzugriff auf die ISA Server-Objekte in Active Directory verfügt.
    5. Klicken Sie im Feld Domain (Domäne) auf die Domäne, in der sich der ISA Server-Computer befindet, und klicken Sie anschließend auf OK.
    6. Vergewissern Sie sich, dass im rechten Fensterbereich folgende Meldung erscheint:
      Authenticated as dn:'UserName'. (Authentifiziert als dn:'Benutzerame'.)


      Hinweis: Wird diese Meldung nicht angezeigt, sind Sie nicht authentifiziert. Sie können erst fortfahren, wenn Sie in Active Directory erfolgreich authentifiziert wurden.
  3. Rufen Sie die Active Directory-Struktur auf. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie im Menü Edit (Bearbeiten) auf Tree (Struktur), und klicken Sie anschließend auf OK.
    2. Erweitern Sie im linken Fensterbereich DC=Beispiel,DC=com. Hierbei steht Beispiel.com für den Namen Ihrer Domäne.
    3. Doppelklicken Sie auf CN=System,DC=Beispiel,DC=com, um das Objekt zu erweitern.
    4. Doppelklicken Sie auf CN=Fpc,CN=System,DC=Beispiel,DC=com, um das Objekt zu erweitern.
    5. Doppelklicken Sie auf CN=Arrays,CN=Fpc,CN=System,DC=Beispiel,DC=com, um das Objekt zu erweitern.
  4. Rufen Sie die einzelnen Array-Richtlinienobjekte auf. Gehen Sie hierzu folgendermaßen vor:
    1. Doppelklicken Sie bei jedem einzelnen Array-Objekt auf CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=Beispiel,DC=com, um das Objekt zu erweitern.

      Verwenden Sie dabei anstelle von ArrayGUID eine GUID aus dem Objekt Arrays. Die GUID sieht in etwa folgendermaßen aus:
      {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
    2. Doppelklicken Sie auf CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=Beispiel,DC=com, um das Objekt zu erweitern.
  5. Ändern Sie die DNS-Cache-Größe für den Firewalldienst. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie unter CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=Beispiel,DC=com mit der rechten Maustaste auf CN=Proxy-WSP,CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=Beispiel,DC=com, und klicken Sie anschließend auf Modify (Ändern).
    2. Belassen Sie im Feld Dn den Standardwert, geben Sie msFPCDnsCacheSize im Feld Attribute ein, und geben Sie 0 (Null) im Feld Values (Werte) ein.
    3. Klicken Sie unter Operation auf Replace (Ersetzen), klicken Sie auf Enter (Eingabe) und anschließend auf Run (Ausführen).
    Wenn die Operation erfolgreich war, erscheinen im rechten Fensterbereich etwa folgende Informationen:
    ***Call Modify... ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com',[1] attrs); Modified 
  6. Ändern Sie die DNS-Cache-Größe für den Webproxy. Gehen Sie hierzu gemäß den Anweisungen in Schritt 5 vor. Hierbei müssen Sie jedoch "CN=Proxy-WSP" an allen Stellen durch "CN=WebProxy" ersetzen.
  7. Führen Sie die Schritte 4 bis 6 aus und ändern Sie die DNS-Cache-Größe für den Firewalldienst und den Webproxydienst für jedes der CN=ArrayGUID-Objekte, das unter dem Objekt CN=Arrays angezeigt wird.
  8. Beenden Sie das LDP-Tool.
  9. Starten Sie die ISA Server-Dienste in Ihrem Unternehmen neu. Gehen Sie hierzu folgendermaßen vor:
    1. Starten Sie das ISA-Verwaltungs-Tool. Klicken Sie hierzu auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft ISA Server, und klicken Sie danach auf ISA-Verwaltung.
    2. Erweitern Sie Server und Arrays, erweitern Sie Ihr Array, erweitern Sie Überwachung, und klicken Sie anschließend auf Dienste.
    3. Klicken Sie mit der rechten Maustaste auf den Webproxydienst für einen ISA Server, und klicken Sie anschließend auf Beenden.
    4. Wurde der Dienst erfolgreich beendet, klicken Sie mit der rechten Maustaste auf diesen Dienst, und klicken Sie anschließend auf Starten.
    5. Klicken Sie mit der rechten Maustaste auf den Firewalldienst für einen ISA Server, und klicken Sie anschließend auf Beenden.
    6. Wurde der Dienst erfolgreich beendet, klicken Sie mit der rechten Maustaste auf diesen Dienst, und klicken Sie anschließend auf Starten.
    7. Führen Sie die Schritte c bis f aus, um die Dienste für alle ISA-Server in Ihrem Array neu zu starten.
    8. Führen Sie die Schritte b bis g aus, um die Dienste für alle ISA-Server in Ihren anderen Arrays neu zu starten.
  10. Beenden Sie das Snap-In "ISA-Verwaltung" der Microsoft Management Console (MMC).

Bei Betrieb von Microsoft ISA Server 2000 Standard Edition oder ISA Server 2000 Enterprise Edition im Einzelplatzmodus

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.

Um das Problem auf einem Computer mit ISA Server 2000 Standard Edition (SP1) oder ISA Server 2000 Standard Edition SP2 zu umgehen, gehen Sie folgendermaßen vor:
  1. Starten Sie den Registrierungseditor. Klicken Sie hierzu auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<ArrayGUID>\ArrayPolicy
    Verwenden Sie dabei anstelle von ArrayGUID die GUID, die unter dem Registrierungsunterschlüssel "Arrays" angezeigt wird. Die GUID sieht in etwa folgendermaßen aus:
    {88F55145-3365-4D10-8DE5-FD433537CFC6}
  3. Ändern Sie den Wert für die DNS-Cache-Größe für den Webproxydienst auf Null. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie unter ArrayPolicy auf WebProxy.
    2. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf msFPCDnsCacheSize, und klicken Sie dann auf Ändern.
    3. Geben Sie in das Feld Wert den Wert 0 ein. Klicken Sie anschließend auf OK.
  4. Ändern Sie den Wert für die DNS-Cache-Größe für den Firewalldienst auf Null. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie unter ArrayPolicy auf Proxy-WSP.
    2. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf msFPCDnsCacheSize, und klicken Sie dann auf Ändern.
    3. Geben Sie in das Feld Wert den Wert 0 ein. Klicken Sie anschließend auf OK.
  5. Beenden Sie den Registrierungseditor.
  6. Starten Sie das ISA-Verwaltungs-Tool. Klicken Sie hierzu auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft ISA Server, und klicken Sie danach auf ISA-Verwaltung.
  7. Erweitern Sie Server und Arrays, erweitern Sie Ihren Server, erweitern Sie Überwachung, und klicken Sie anschließend auf Dienste.
  8. Klicken Sie im Menü Ansicht auf Erweitert.
  9. Klicken Sie mit der rechten Maustaste auf den Webproxydienst. Klicken Sie dann auf Beenden.
  10. Wurde der Dienst erfolgreich beendet, klicken Sie mit der rechten Maustaste auf diesen Dienst, und klicken Sie anschließend auf Starten.
  11. Klicken Sie mit der rechten Maustaste auf den Firewalldienst. Klicken Sie dann auf Beenden.
  12. Wurde der Dienst erfolgreich beendet, klicken Sie mit der rechten Maustaste auf diesen Dienst, und klicken Sie anschließend auf Starten.

Microsoft Proxy Server 2.0

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.

Um das Problem auf einem Computer mit Microsoft Proxy Server 2.0 Service Pack 1 (SP1) zu umgehen, gehen Sie folgendermaßen vor:
  1. Starten Sie den Registrierungseditor. Klicken Sie hierzu auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
  3. Ändern Sie den Wert für die DNS-Cache-Größe für den Webproxydienst auf Null. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf DnsCacheSize, und klicken Sie dann auf Ändern.
    2. Geben Sie in das Feld Wert den Wert 0 ein. Klicken Sie anschließend auf OK.
  4. Beenden Sie den Registrierungseditor.
  5. Starten Sie das Proxy-Verwaltungs-Tool. Klicken Sie hierzu auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft Proxy Server, und klicken Sie danach auf Microsoft Management Console.
  6. Erweitern Sie den Knoten für den Computer, auf dem Proxy Server 2.0 SP1 ausgeführt wird.
  7. Klicken Sie auf Winsock proxy, und klicken Sie anschließend im Menü Aktion auf Beenden.
  8. Wurde der Dienst erfolgreich beendet, klicken Sie im Menü Aktion auf Starten.
  9. Klicken Sie auf Web Proxy, und klicken Sie anschließend im Menü Aktion auf Beenden.
  10. Wurde der Dienst erfolgreich beendet, klicken Sie im Menü Aktion auf Starten.
Hinweis: Es steht ein Skript zur Verfügung, mit dem die im vorliegenden Artikel beschriebenen Schritte automatisiert werden. Dieses Skript wurde für den Einsatz in ISA Server 2000 und Proxy Server 2.0 entwickelt. Microsoft Internet Security & Acceleration (ISA) Server 2004 ist von der Sicherheitsanfälligkeit nicht betroffen, weswegen das Skript auch nicht für den Einsatz in ISA Server 2004 ausgelegt ist. Sie erhalten das Skript über den folgenden Link:
http://isatools.org/ms04-039.js


Um den Webproxy-Cache in ISA Server 2000 zu löschen, verwenden Sie das Tool "Clrcache.cmd". Sie erhalten das Tool über den folgenden Link:
http://isatools.org/clrcache.cmd
Die Kontaktinformationen bezüglich der in diesem Artikel genannten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Weitere Informationen zum Löschen des Webproxy-Caches in Proxy Server 2.0 finden Sie in folgendem Artikel der Microsoft Knowledge Base:
811086 How to clear the cache in Microsoft Proxy Server 2.0


Weitere Informationen zum Supportzyklus für Proxy Server 2.0 finden Sie auf der folgenden Microsoft-Website:
http://www.microsoft.com/isaserver/evaluation/previousversions/ending.mspx

Eigenschaften

Artikel-ID: 889189 - Geändert am: Montag, 3. Dezember 2007 - Version: 3.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 1
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Proxy Server 2.0 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
Keywords: 
kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com