Comment faire pour contourner le problème d'usurpation d'identité DNS dans ISA Server 2000 et Proxy Server 2.0 décrit dans le Bulletin de sécurité Microsoft MS04-039

Traductions disponibles Traductions disponibles
Numéro d'article: 889189 - Voir les produits auxquels s'applique cet article

Important Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986 Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

Microsoft Internet Security and Acceleration (ISA) Server 2000 et Microsoft Proxy Server 2.0 sont affectés par le problème de sécurité décrit dans le Bulletin de sécurité Microsoft MS04-039. Dans ce scénario, le cache DNS d'ISA Server 2000 avec le Service Pack 1 installé, d'ISA Server 2000 avec le Service Pack 2 installé ou de Proxy Server 2.0 avec le Service Pack 1 installé peut être l'objet d'une usurpation d'identité.

Ce problème de sécurité est décrit dans le Bulletin de sécurité Microsoft MS04-039. De plus, ce Bulletin de sécurité Microsoft contient des liens permettant d'accéder aux mises à jour de sécurité qui résolvent ce problème. Cet article contient des instructions que vous pouvez suivre pour protéger vos systèmes jusqu'à l'installation de la mise à jour de sécurité.

Bulletin de sécurité Microsoft MS04-039

INTRODUCTION

Cet article explique comment contourner le problème de sécurité lié au cache DNS décrit dans le Bulletin de sécurité Microsoft MS04-039 :
Bulletin de sécurité Microsoft MS04-039

Plus d'informations

Le Bulletin de sécurité Microsoft MS04-039 décrit un problème de sécurité qui pourrait permettre à un utilisateur malveillant d'usurper l'identité de contenu Internet approuvé. Dans ce scénario, les utilisateurs pourraient être incités à croire qu'ils visitent un site Internet approuvé alors qu'il s'agit en réalité d'un site créé à des fins malveillantes. Pour tenter d'exploiter ce problème de sécurité, un agresseur devrait d'abord convaincre un utilisateur d'afficher son contenu malveillant ou de cliquer sur un lien vers du contenu malveillant.

Pour résoudre ce problème, installez la mise à jour de sécurité décrite dans le Bulletin de sécurité Microsoft MS04-039.
Bulletin de sécurité Microsoft MS04-039


Pour contourner ce problème, appliquez l'une des méthodes suivantes :

Pour Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition installé dans un groupe

Avertissement Si vous utilisez le composant logiciel enfichable Modification ADSI, l'utilitaire LDP ou tout autre client LDAP version 3 et si vous effectuez une modification incorrecte des attributs d'objets Active Directory, vous risquez de générer des problèmes graves. Ces problèmes peuvent vous obliger à réinstaller Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 ou Windows et Exchange. Microsoft n'est pas en mesure de garantir que les problèmes résultant d'une modification incorrecte des attributs d'objets Active Directory pourront être résolus. Si vous modifiez ces attributs, vous devez en assumer les risques.

Pour contourner ce problème pour ISA Server 2000 avec le Service Pack 1 installé ou ISA Server 2000 avec le Service Pack 2 installé dans un groupe d'entreprise, procédez comme suit :
  1. Démarrez l'outil LDP. Pour cela, cliquez sur Démarrer, sur Exécuter, tapez ldp.exe, puis cliquez sur OK.

    Remarque Ldp.exe est fourni avec les outils de support de Microsoft Windows. Pour installer les outils de support de Windows dans Windows 2000, double-cliquez sur Setup.exe dans le dossier Support\Tools sur le CD-ROM Windows 2000. Pour installer les outils de support de Windows dans Windows Server 2003, double-cliquez sur Supptools.msi dans le dossier Support\Tools sur le CD-ROM Windows Server 2003.
  2. Établissez une connexion au service d'annuaire Active Directory. Pour cela, procédez comme suit :
    1. Dans le menu Connection (Connexion), cliquez sur Connect (Se connecter), laissez la zone Server (Serveur) vide, puis cliquez sur OK.
    2. Dans le menu Connection, cliquez sur Bind (Liaison).
    3. Dans la zone User (Utilisateur), tapez le nom d'un compte d'utilisateur qui dispose d'un accès en écriture aux objets ISA Server dans Active Directory. En général, il s'agit d'un compte d'administrateur de domaine.
    4. Dans la zone Password (Mot de passe), tapez le mot de passe correspondant au compte d'utilisateur qui dispose d'un accès en écriture aux objets ISA Server dans Active Directory.
    5. Dans la zone Domain (Domaine), tapez le domaine dans lequel se trouve cet ordinateur ISA Server, puis cliquez sur OK.
    6. Dans le volet droit, vérifiez que le message suivant s'affiche :
      Authenticated as dn:'Nom_Utilisateur' (Authentifié en tant que dn:'Nom_Utilisateur').


      Remarque Si ce message ne s'affiche pas, vous n'êtes pas authentifié. Vous ne pouvez continuer avant d'avoir été authentifié dans Active Directory.
  3. Accédez à l'arborescence Active Directory. Pour cela, procédez comme suit :
    1. Dans le menu View (Affichage), cliquez sur Tree (Arborescence), puis sur OK.
    2. Dans le volet gauche, développez DC=exemple,DC=com, où exemple.com est le nom de votre domaine.
    3. Double-cliquez sur CN=System,DC=exemple,DC=com pour développer cet objet.
    4. Double-cliquez sur CN=Fpc,CN=System,DC=exemple,DC=com pour développer cet objet.
    5. Double-cliquez sur CN=Arrays,CN=Fpc,CN=System,DC=exemple,DC=com pour développer cet objet.
  4. Accédez à chaque objet de stratégie de groupe. Pour cela, procédez comme suit :
    1. Sous chaque objet de groupe, double-cliquez sur CN=GUIDgroupe,CN=Arrays,CN=Fpc,CN=System,DC=exemple,DC=com pour développer cet objet.

      Remplacez GUIDgroupe par un GUID qui apparaît sous l'objet Arrays (Groupes). Ce GUID ressemble à ceci :
      {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
    2. Double-cliquez sur CN=ArrayPolicy,CN=GUIDgroupe,CN=Arrays,CN=Fpc,CN=System,DC=exemple,DC=com pour développer cet objet.
  5. Modifiez la taille du cache DNS du service Pare-feu. Pour cela, procédez comme suit :
    1. Sous CN=ArrayPolicy,CN=GUIDgroupe,CN=Arrays,CN=Fpc,CN=System,DC=exemple,DC=com, cliquez avec le bouton droit sur CN=Proxy-WSP,CN=ArrayPolicy,CN=GUIDgroupe,CN=Arrays,CN=Fpc,CN=System,DC=exemple,DC=com, puis cliquez sur Modify (Modifier).
    2. Laissez la valeur par défaut dans la zone Dn, tapez msFPCDnsCacheSize dans la zone Attribute (Attribut), puis tapez 0 (zéro) dans la zone Values (Valeurs).
    3. Sous Operation (Opération), cliquez sur Replace (Remplacer), sur Enter (Entrée), puis sur Run (Exécuter).
    Si l'opération réussit, des informations semblables aux suivantes apparaissent dans le volet droit :
    ***Call Modify... ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=exemple,DC=com',[1] attrs); Modified 
  6. Modifiez la taille du cache DNS du service Proxy Web. Pour cela, suivez les instructions de l'étape 5. Toutefois, à cette étape, remplacez toutes les instances de CN=Proxy-WSP par CN=WebProxy.
  7. Suivez les étapes 4 à 6 pour modifier la taille du cache DNS du service Pare-feu et la taille du cache DNS du service Proxy Web pour chacun des objets CN=GUIDgroupe qui apparaissent sous l'objet CN=Arrays.
  8. Quittez LDP.
  9. Redémarrez les services ISA Server dans votre entreprise. Pour cela, procédez comme suit :
    1. Démarrez l'outil Gestion ISA. Pour cela, cliquez sur Démarrer, pointez sur Programmes, sur Microsoft ISA Server, puis cliquez sur Gestion ISA.
    2. Développez Serveurs et groupes, développez votre groupe, développez Analyse, puis cliquez sur Services.
    3. Cliquez avec le bouton droit sur un service de proxy Web d'ISA Server, puis cliquez sur Arrêter.
    4. Une fois le service arrêté, cliquez avec le bouton droit sur ce service, puis cliquez sur Démarrer.
    5. Cliquez avec le bouton droit sur un service de pare-feu d'ISA Server, puis cliquez sur Arrêter.
    6. Une fois le service arrêté, cliquez avec le bouton droit sur ce service, puis cliquez sur Démarrer.
    7. Suivez les étapes c à f pour redémarrer les services pour tous les serveurs ISA Server de votre groupe.
    8. Suivez les étapes b à g pour redémarrer les services pour tous les serveurs ISA Server de vos autres groupes.
  10. Quittez le composant logiciel enfichable Gestion ISA de la console MMC (Microsoft Management Console).

Pour Microsoft Internet Security and Acceleration Server 2000 Standard Edition ou ISA Server 2000 Enterprise Edition en mode autonome

Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Pour contourner ce problème pour un ordinateur qui exécute ISA Server 2000 Standard Edition avec le Service Pack 1 installé ou ISA Server 2000 Standard Edition avec le Service Pack 2 installé, procédez comme suit :
  1. Démarrez l'Éditeur du Registre. Pour cela, cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<GUIDgroupe>\ArrayPolicy
    Remplacez GUIDgroupe par le GUID qui apparaît sous la sous-clé de Registre Arrays. Ce GUID ressemble à ceci :
    {88F55145-3365-4D10-8DE5-FD433537CFC6}
  3. Définissez la taille du cache DNS du service Proxy Web à zéro. Pour cela, procédez comme suit :
    1. Sous ArrayPolicy, cliquez sur WebProxy.
    2. Dans le volet droit, cliquez avec le bouton droit sur msFPCDnsCacheSize, puis cliquez sur Modifier.
    3. Dans la zone Données de la valeur, tapez 0 (zéro), puis cliquez sur OK.
  4. Définissez la taille du cache DNS du service Pare-feu à zéro. Pour cela, procédez comme suit :
    1. Sous ArrayPolicy, cliquez sur Proxy-WSP.
    2. Dans le volet droit, cliquez avec le bouton droit sur msFPCDnsCacheSize, puis cliquez sur Modifier.
    3. Dans la zone Données de la valeur, tapez 0 (zéro), puis cliquez sur OK.
  5. Quittez l'Éditeur du Registre.
  6. Démarrez l'outil Gestion ISA. Pour cela, cliquez sur Démarrer, pointez sur Programmes, sur Microsoft ISA Server, puis cliquez sur Gestion ISA.
  7. Développez Serveurs et groupes, développez votre serveur, développez Analyse, puis cliquez sur Services.
  8. Dans le menu Affichage, cliquez sur Avancé.
  9. Cliquez avec le bouton droit sur le service Proxy Web, puis cliquez sur Arrêter.
  10. Une fois le service arrêté, cliquez avec le bouton droit sur ce service, puis cliquez sur Démarrer.
  11. Cliquez avec le bouton droit sur le service Pare-feu, puis cliquez sur Arrêter.
  12. Une fois le service arrêté, cliquez avec le bouton droit sur ce service, puis cliquez sur Démarrer.

Pour Microsoft Proxy Server 2.0

Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Pour contourner ce problème pour un ordinateur qui exécute Microsoft Proxy Server 2.0 avec le Service Pack 1 installé, procédez comme suit :
  1. Démarrez l'Éditeur du Registre. Pour cela, cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
  3. Définissez la taille du cache DNS du service Proxy Web à zéro. Pour cela, procédez comme suit :
    1. Dans le volet droit, cliquez avec le bouton droit sur DnsCacheSize, puis cliquez sur Modifier.
    2. Dans la zone Données de la valeur, tapez 0 (zéro), puis cliquez sur OK.
  4. Quittez l'Éditeur du Registre.
  5. Démarrez l'outil de gestion Proxy. Pour cela, cliquez sur Démarrer, pointez sur Programmes, sur Microsoft Proxy Server, puis cliquez sur Microsoft Management Console.
  6. Développez le noeud de l'ordinateur qui exécute Proxy Server 2.0 avec le Service Pack 1 installé.
  7. Cliquez sur Winsock proxy, puis cliquez sur Arrêter dans le menu Action.
  8. Une fois le service arrêté, cliquez sur Démarrer dans le menu Action.
  9. Cliquez sur Web Proxy, puis cliquez sur Arrêter dans le menu Action.
  10. Une fois le service arrêté, cliquez sur Démarrer dans le menu Action.
Remarque Il existe un script permettant d'automatiser les étapes décrites dans cet article. Ce script est conçu pour fonctionner sur ISA Server 2000 et Proxy Server 2.0 Microsoft Internet Security and Acceleration (ISA) Server 2004 n'étant pas concerné par ce problème de sécurité, ce script n'est pas conçu pour s'exécuter sur ISA Server 2004. Pour obtenir ce script, consultez le site Web à l'adresse suivante (en anglais) :
http://isatools.org/ms04-039.js


Pour effacer le cache du proxy Web d'ISA server 2000, utilisez l'outil Clrcache.cmd. Pour obtenir cet outil, consultez le site Web à l'adresse suivante (en anglais) :
http://isatools.org/clrcache.cmd
Microsoft fournit les coordonnées de sociétés tierces afin de vous aider à trouver un support technique. Ces informations peuvent être modifiées sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.

Pour plus d'informations sur la façon d'effacer le cache de proxy Web dans Proxy Server 2.0, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
811086 Comment faire pour effacer le cache dans Microsoft Proxy Server 2.0 (en anglais)


Pour plus d'informations sur le cycle de vie de Proxy Server 2.0, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/isaserver/evaluation/previousversions/ending.mspx

Propriétés

Numéro d'article: 889189 - Dernière mise à jour: lundi 3 décembre 2007 - Version: 3.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 1
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Proxy Server 2.0 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
Mots-clés : 
kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com