A Microsoft MS04-039 jelű biztonsági közleményében ismertetett, az ISA Server 2000 és a Proxy Server 2.0 rendszerű kiszolgálókon imitálásos támadást lehetővé tevő biztonsági rés kerülő megoldása

A cikk fordítása A cikk fordítása
Cikk azonosítója: 889189 - A cikkben érintett termékek listájának megtekintése.

Fontos: A cikk a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosításával is foglalkozik. A beállításjegyzékről módosítása előtt készítsen biztonsági másolatot, illetve győződjön meg arról, hogy szükség esetén helyre tudja állítani azt. A beállításjegyzék biztonsági mentéséről, visszaállításáról és szerkesztéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
256986 A Microsoft Windows beállításjegyzékének ismertetése
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

A Microsoft MS04-039 jelű biztonsági közleményében ismertetett biztonsági rés a Microsoft Internet Security and Acceleration (ISA) Server 2000 és a Microsoft Proxy Server 2.0 rendszert érinti. A leírt esetben az ISA Server 2000 Service Pack 1 (SP1), az ISA Server 2000 Service Pack 2 (SP2) vagy a Proxy Server 2.0 Service Pack 1 (SP1) DNS-gyorsítótára ellen imitálásos támadás hajtható végre.

A Microsoft MS04-039 jelű biztonsági közleménye ismerteti a biztonsági rést, valamint tartalmazza a probléma megoldásához használható biztonsági frissítésekre mutató letöltési hivatkozásokat. A cikk utasításait követve a biztonsági frissítés telepítéséig megvédheti rendszereit a szóban forgó támadással szemben.

MS04-039 jelű Microsoft biztonsági közlemény

BEVEZETÉS

Ez a cikk azt ismerteti, hogy miként védekezhet kerülő megoldással a DNS-gyorsítótárnak a Microsoft MS04-039 jelű biztonsági közleményében ismertetett biztonsági rése ellen:
MS04-039 jelű Microsoft biztonsági közlemény

További információ

A Microsoft MS04-039 jelű biztonsági közleménye egy olyan biztonsági rést mutat be, amelyet kihasználva a támadók megbízható internetes tartalmat imitálhatnak. Ilyen esetekben előfordulhat, hogy a felhasználó azt hiszi, megbízható internetes helyet keres fel, miközben valójában ártó céllal létrehozott webhelyre látogat. A biztonsági rés kihasználása érdekében a támadónak először rá kell vennie a felhasználót arra, hogy az ártó szándékú tartalomra mutató hivatkozásra kattintson, illetve megtekintse a tartalmat.

A probléma megoldásához telepítse a Microsoft MS04-039 jelű biztonsági közleményében ismertetett biztonsági frissítést.
MS04-039 jelű Microsoft biztonsági közlemény


A probléma kerülő megoldásához alkalmazza a következő módszerek egyikét.

Egy tömbben telepített Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition esetén

Figyelem! Az Active Directory-objektumoknak az ADSI Edit (az újabb rendszerekben ADSI – szerkesztés) beépülő modullal, az LDP segédprogrammal vagy a 3-as verziójú LDAP egyéb ügyfélprogramjával helytelenül módosított attribútumai komoly problémákat okozhatnak, amelyek akár a Microsoft Windows 2000 Server, a Microsoft Windows Server 2003, a Microsoft Exchange 2000 Server vagy a Microsoft Exchange Server 2003 rendszer, illetve mind a Windows rendszer, mind pedig az Exchange alkalmazás újratelepítését is szükségessé tehetik. A Microsoft nem garantálja az Active Directory-objektumok attribútumainak helytelen módosításából származó problémák megoldhatóságát, ezért ezeket az attribútumokat csak saját felelősségére módosíthatja.

Vállalati tömbben ISA Server 2000 Service Pack 1 (SP1) vagy ISA Server 2000 Service Pack 2 (SP2) esetén a probléma megoldásához hajtsa végre az alábbi lépéseket:
  1. Indítsa el az LDP eszközt. Ehhez kattintson a Start menü Futtatás parancsára, és a megjelenő párbeszédpanel beviteli mezőjébe írja be az ldp.exe parancsot, majd kattintson az OK gombra.

    Megjegyzés: Az Ldp.exe fájl a Microsoft Windows támogatási eszközeinek részét képezi. Windows 2000 rendszeren a Windows támogatási eszközök telepítéséhez kattintson duplán a Windows 2000 CD Support\Tools mappájában a Setup.exe fájlra. Windows Server 2003 rendszerben a Windows támogatási eszközök telepítéséhez a Windows Server 2003 CD Support\Tools mappájában kattintson duplán a Supptools.msi fájlra.
  2. Kapcsolódjon az Active Directory címtárszolgáltatáshoz. Ehhez hajtsa végre az alábbi lépéseket:
    1. Kattintson a Connection (Csatlakozás) menü Connect (Csatlakozás) parancsára, hagyja üresen a Server (Kiszolgáló) mezőt, és kattintson az OK gombra.
    2. Kattintson a Connection menü Bind (Kötés) parancsára.
    3. A User (Felhasználó) mezőbe írja be egy olyan felhasználói fióknak a nevét, amely az Active Directoryban írási hozzáféréssel rendelkezik az ISA Server objektumaihoz. Ez általában egy tartományi rendszergazda fiókja.
    4. A Password (Jelszó) mezőbe írja be az ISA Server Active Directoryban lévő objektumaihoz írási hozzáféréssel rendelkező felhasználói fióknak megfelelő jelszót.
    5. A Domain (Tartomány) mezőben adja meg azt a tartományt, amelyben az ISA Server alkalmazást futtató számítógép található, majd kattintson az OK gombra.
    6. Győződjön meg arról, hogy a jobb oldali ablaktáblában megjelenik a következő üzenet:
      Authenticated as dn:'Felhasználónév'. (Hitelesítve a következőként: „Felhasználónév”.)


      Megjegyzés: Ha az üzenet nem jelenik meg, Ön nincs hitelesítve. Addig nem tudja folytatni a műveletet, amíg nincs hitelesítve az Active Directoryban.
  3. Nyissa meg az Active Directory faszerkezetét. Ehhez hajtsa végre az alábbi lépéseket:
    1. Kattintson a View (Nézet) menü Tree (Fa) parancsára, majd az OK gombra.
    2. A bal oldali ablaktáblában bontsa ki a DC=pelda,DC=hu elemet, ahol a pelda.hu a tartomány nevét jelenti.
    3. A kibontáshoz kattintson duplán a CN=System,DC=pelda,DC=hu objektumra.
    4. A kibontáshoz kattintson duplán a CN=Fpc,CN=System,DC=pelda,DC=hu objektumra.
    5. A kibontáshoz kattintson duplán a CN=Arrays,CN=Fpc,CN=System,DC=pelda,DC=hu objektumra.
  4. Nyissa meg az egyes tömbök házirendobjektumait. Ehhez hajtsa végre az alábbi lépéseket:
    1. A kibontáshoz az egyes tömbobjektumok csoportban kattintson duplán a CN=TömbGUIDazonosítója,CN=Arrays,CN=Fpc,CN=System,DC=pelda,DC=hu objektumra.

      Cserélje ki az TömbGUIDazonosítója objektumot egy, az Arrays objektum alatt megjelenő GUID azonosítóra. A GUID az alábbihoz hasonló módon jelenik meg:
      {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
    2. A kibontáshoz kattintson duplán a CN=ArrayPolicy,CN=TömbGUIDazonosítója,CN=Arrays,CN=Fpc,CN=System,DC=pelda,DC=hu objektumra.
  5. Módosítsa a tűzfalszolgáltatás DNS-gyorsítótárának méretét. Ehhez hajtsa végre az alábbi lépéseket:
    1. A CN=ArrayPolicy,CN=TömbGUIDazonosítója,CN=Arrays,CN=Fpc,CN=System,DC=pelda,DC=hu objektum csoportban kattintson a jobb gombbal a CN=Proxy-WSP,CN=ArrayPolicy,CN=TömbGUIDazonosítója,CN=Arrays,CN=Fpc,CN=System,DC=pelda,DC=hu elemre, majd kattintson a Modify (Módosítás) parancsra.
    2. Hagyja változatlanul a Dn mező alapértelmezett értékét, írja be az msFPCDnsCacheSize karakterláncot az Attribute (Attribútum) mezőbe, majd a 0 (nulla) értéket a Values (Értékek) mezőbe.
    3. Az Operation (Művelet) szakaszban kattintson a Replace (Csere), az Enter (Bevitel), majd a Run (Futtatás) elemre.
    Ha a művelet sikeres, a jobb oldali ablaktáblában a következőhöz hasonló információk jelennek meg:
    ***Call Modify... 
            ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=pelda,DC=hu',[1] attrs);
            Modified 
  6. Módosítsa a webes proxyszolgáltatás DNS-gyorsítótárának méretét. Ehhez kövesse az 5. lépésben ismertetett utasításokat azzal a különbséggel, hogy most cserélje ki a CN=Proxy-WSP összes előfordulását CN=WebProxy objektumra.
  7. Kövesse a 4-6. lépéseket a tűzfal- és a webes proxyszolgáltatás DNS-gyorsítótára méretének a CN=Arrays objektum csoportban megjelenő minden egyes CN=TömbGUIDazonosítója objektumhoz történő módosításához.
  8. Lépjen ki az LDP segédprogramból.
  9. Indítsa újra a vállalatánál futó ISA Server szolgáltatásokat. Ehhez hajtsa végre az alábbi lépéseket:
    1. Indítsa el az ISA Management eszközt. Ehhez mutasson a Start menü Minden program pontjára, majd mutasson a Microsoft ISA Server pontra, és válassza az ISA Management parancsot.
    2. Bontsa ki a Servers and Arrays (Kiszolgálók és tömbök) csomópontot, bontsa ki a tömbjét, majd a Monitoring (Figyelés) elemet, és kattintson a Services (Szolgáltatások) lehetőségre.
    3. Kattintson a jobb gombbal egy ISA-kiszolgáló webes proxyszolgáltatására, majd kattintson a Stop (Leállítás) gombra.
    4. A szolgáltatás sikeres leállását követően kattintson a jobb gombbal ugyanarra a szolgáltatásra, majd kattintson a Start (Indítás) gombra.
    5. Kattintson a jobb gombbal egy ISA-kiszolgáló tűzfalszolgáltatására, majd kattintson a Stop gombra.
    6. A szolgáltatás sikeres leállását követően kattintson a jobb gombbal ugyanarra a szolgáltatásra, majd kattintson a Start gombra.
    7. A szolgáltatások újraindításához a tömbjében lévő összes ISA-kiszolgáló esetén hajtsa végre a c–f lépéseket.
    8. A szolgáltatások újraindításához a többi tömbben lévő összes ISA-kiszolgáló esetén hajtsa végre a b–g lépéseket.
  10. Lépjen ki az ISA Management Microsoft Management Console (MMC) beépülő modulból.

Microsoft Internet Security and Acceleration Server 2000 Standard Edition vagy ISA Server 2000 Enterprise Edition esetén önálló módban

Figyelem! A beállításszerkesztő (korábbi nevén Rendszerleíróadatbázis-szerkesztő) helytelen használata komoly problémákat okozhat, amelyek akár az operációs rendszer újratelepítését is szükségessé tehetik. A Microsoft nem garantálja a beállításszerkesztő nem megfelelő használata miatt fellépő problémák megoldhatóságát, ezért a beállításszerkesztőt csak saját felelősségére használhatja.

A probléma megoldásához ISA Server 2000 Standard Edition (SP1) vagy ISA Server 2000 Standard Edition SP2 programot futtató számítógép esetén hajtsa végre az alábbi lépéseket:
  1. Indítsa el a beállításszerkesztőt. Ehhez kattintson a Start menü Futtatás parancsára, a megjelenő párbeszédpanel beviteli mezőjébe írja be a regedit parancsot, és kattintson az OK gombra.
  2. Keresse meg, és kattintson az alábbi beállításkulcsra:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<TömbGUIDazonosítója>\ArrayPolicy
    Cserélje ki az TömbGUIDazonosítója objektumot az Arrays beállításkulcs alatt megjelenő GUID azonosítóra. A GUID a következőhöz hasonló módon jelenik meg:
    {88F55145-3365-4D10-8DE5-FD433537CFC6}
  3. Módosítsa a webes proxyszolgáltatás DNS-gyorsítótárának méretét nulla értékre. Ehhez hajtsa végre az alábbi lépéseket:
    1. Az ArrayPolicy csoportban kattintson a WebProxy elemre.
    2. A jobb oldali ablaktáblában kattintson a jobb gombbal az msFPCDnsCacheSize elemre, majd válassza a Módosítás parancsot.
    3. Írja be az Érték mezőbe a 0 (nulla) értéket, majd kattintson az OK gombra.
  4. Módosítsa a tűzfalszolgáltatás DNS-gyorsítótárának méretét nulla értékre. Ehhez hajtsa végre az alábbi lépéseket:
    1. Az ArrayPolicy csoportban kattintson a Proxy-WSP elemre.
    2. A jobb oldali ablaktáblában kattintson a jobb gombbal az msFPCDnsCacheSize elemre, majd válassza a Módosítás parancsot.
    3. Írja be az Érték mezőbe a 0 (nulla) értéket, majd kattintson az OK gombra.
  5. Lépjen ki a beállításszerkesztőből.
  6. Indítsa el az ISA Management eszközt. Ehhez mutasson a Start menü Minden program pontjára, majd mutasson a Microsoft ISA Server pontra, és válassza az ISA Management parancsot.
  7. Bontsa ki a Servers and Arrays (Kiszolgálók és tömbök) csomópontot, bontsa ki a tömbjét, majd a Monitoring (Figyelés) elemet, és kattintson a Services (Szolgáltatások) lehetőségre.
  8. Kattintson a View menü Advanced (Speciális) parancsára.
  9. Kattintson a jobb gombbal a webes proxyszolgáltatásra, majd kattintson a Stop gombra.
  10. A szolgáltatás sikeres leállását követően kattintson a jobb gombbal ugyanarra a szolgáltatásra, majd kattintson a Start gombra.
  11. Kattintson a jobb gombbal a tűzfalszolgáltatásra, majd kattintson a Stop gombra.
  12. A szolgáltatás sikeres leállását követően kattintson a jobb gombbal ugyanarra a szolgáltatásra, majd kattintson a Start gombra.

Microsoft Proxy Server 2.0 esetén

Figyelem! A beállításszerkesztő (korábbi nevén Rendszerleíróadatbázis-szerkesztő) helytelen használata komoly problémákat okozhat, amelyek akár az operációs rendszer újratelepítését is szükségessé tehetik. A Microsoft nem garantálja a beállításszerkesztő nem megfelelő használata miatt fellépő problémák megoldhatóságát, ezért a beállításszerkesztőt csak saját felelősségére használhatja.

Microsoft Proxy Server 2.0 Service Pack 1 (SP1) programot futtató számítógépek esetén a probléma megoldásához hajtsa végre az alábbi lépéseket:
  1. Indítsa el a beállításszerkesztőt. Ehhez kattintson a Start menü Futtatás parancsára, a megjelenő párbeszédpanel beviteli mezőjébe írja be a regedit parancsot, és kattintson az OK gombra.
  2. Keresse meg, és jelölje ki a beállításjegyzék következő alkulcsát:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
  3. Módosítsa a webes proxyszolgáltatás DNS-gyorsítótárának méretét nulla értékre. Ehhez hajtsa végre az alábbi lépéseket:
    1. A jobb oldali ablaktáblában kattintson a jobb gombbal a DnsCacheSize elemre, majd válassza a Módosítás parancsot.
    2. Írja be az Érték mezőbe a 0 (nulla) értéket, majd kattintson az OK gombra.
  4. Lépjen ki a beállításszerkesztőből.
  5. Indítsa el a Proxy Management eszközt. Ehhez mutasson a Start menü Minden program pontjára, majd mutasson a Microsoft Proxy Server pontra, és válassza a Microsoft Management Console parancsot.
  6. Bontsa ki a Proxy Server 2.0 SP1 programot futtató számítógéphez tartozó csomópontot.
  7. Kattintson a Winsock proxy elemre, majd az Action (Művelet) menü Stop parancsára.
  8. A szolgáltatás sikeres leállítását követően kattintson az Action menü Start gombjára.
  9. Kattintson a Web Proxy (Webes proxy) elemre, majd az Action menü Start gombjára.
  10. A szolgáltatás sikeres leállítását követően kattintson az Action menü Start gombjára.
Megjegyzés: A cikkben ismertetett lépések automatizálásához elérhető egy parancsfájl. amelyet az ISA Server 2000 és a Proxy Server 2.0 programokhoz terveztek. A Microsoft Internet Security and Acceleration (ISA) Server 2004 alkalmazást nem érinti ez a biztonsági rés, és a parancsfájl sem futtatható ISA Server 2004 rendszer esetén. A parancsfájl beszerzéséhez látogasson el a következő webhelyre:
http://isatools.org
Az ISA Server 2000 webes proxy gyorsítótárának kiürítéséhez használja a Clrcache.cmd eszközt. Az eszközt a következő webhelyen szerezheti be:
http://isatools.org
A Microsoft a külső gyártók elérhetőségi adatait a műszaki támogatás eléréséhez szánt segítségnyújtásként teszi közzé. Az elérhetőségi adatok értesítés nélkül változhatnak, pontosságukat a Microsoft nem garantálja.

További információt a webes proxy gyorsítótárának kiürítéséről Proxy Server 2.0 program esetén a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
811086 A gyorsítótár kiürítése Microsoft Proxy Server 2.0 program esetén (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)


A Proxy Server 2.0 alkalmazás terméktámogatási életciklusára vonatkozó további információkért látogasson el a Microsoft következő webhelyére:
http://www.microsoft.com/isaserver/evaluation/previousversions/ending.mspx

Tulajdonságok

Cikk azonosítója: 889189 - Utolsó ellenőrzés: 2007. december 3. - Verziószám: 4.1
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 1
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Proxy Server 2.0 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
Kulcsszavak: 
kbinfo kbbug kbqfe kbfirewall kbprb KB889189
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com