Risoluzione del problema di vulnerabilitÓ relativo allo spoofing della cache DNS in ISA Server 2000 e Proxy Server 2.0 descritto nel Bollettino Microsoft sulla sicurezza MS04-039

Traduzione articoli Traduzione articoli
Identificativo articolo: 889189 - Visualizza i prodotti a cui si riferisce l?articolo.

Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, eseguire una copia di backup e assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Microsoft Internet Security and Acceleration (ISA) Server 2000 e Microsoft Proxy Server 2.0 sono soggetti al problema di protezione descritto nel Bollettino Microsoft sulla sicurezza MS04-039. In questo scenario Ŕ possibile che si verifichi lo spoofing della cache DNS di ISA Server 2000 Service Pack 1 (SP1), ISA Server 2000 Service Pack 2 (SP2) o Proxy Server 2.0 Service Pack 1 (SP1).

Questo problema di protezione Ŕ descritto nel Bollettino Microsoft sulla sicurezza MS04-039, nel quale sono presenti anche i collegamenti per il download degli aggiornamenti della protezione che consentono di risolvere il problema. In questo articolo vengono fornite istruzioni che Ŕ possibile utilizzare per proteggere temporaneamente i sistemi in uso finchÚ non sarÓ possibile installare l'aggiornamento di protezione (informazioni in lingua inglese).

Bollettino Microsoft sulla sicurezza MS03-038

INTRODUZIONE

In questo articolo viene descritto come risolvere il problema di vulnerabilitÓ relativo alla cache DNS descritto nel Bollettino Microsoft sulla sicurezza MS04-039 (informazioni in lingua inglese):
Bollettino Microsoft sulla sicurezza MS04-039

Informazioni

Nel Bollettino Microsoft sulla sicurezza MS04-039 viene descritto un problema di vulnerabilitÓ a causa del quale un utente malintenzionato potrebbe tentare di effettuare lo spoofing di contenuto Internet attendibile. In uno scenario di questo tipo gli utenti potrebbero essere indotti a credere di visitare un sito Internet attendibile, mentre in realtÓ stanno visitando un sito creato per scopi dannosi. Per tentare di sfruttare questo problema di protezione, l'operatore malintenzionato dovrÓ innanzitutto convincere l'utente a visualizzare il contenuto dannoso o a fare clic sul collegamento a contenuto dannoso.

Per risolvere il problema, installare l'aggiornamento di protezione descritto nel Bollettino Microsoft sulla sicurezza MS04-039 (informazioni in lingua inglese).
Bollettino Microsoft sulla sicurezza MS04-039


Per risolvere al problema, utilizzare uno dei metodi descritti di seguito.

Per Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition installato in un array

Avviso Se si utilizza lo snap-in ADSI Edit, l'utilitÓ LDP o qualsiasi altro client LDAP versione 3 e si modificano in modo scorretto gli attributi degli oggetti di Active Directory, Ŕ possibile causare gravi problemi, che possono richiedere la reinstallazione di Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 oppure Windows ed Exchange. Microsoft non garantisce che i problemi derivanti dall'errata modifica degli attributi di oggetti di Active Directory possano essere risolti. La modifica di tali attributi Ŕ a rischio e pericolo dell'utente.

Per risolvere questo problema per ISA Server 2000 Service Pack 1 (SP1) o ISA Server 2000 Service Pack 2 (SP2) in un array aziendale, attenersi alla procedura seguente:
  1. Avviare lo strumento LDP. Per effettuare questa operazione, fare clic sul pulsante Start, scegliere Run, digitare ldp.exe, quindi scegliere OK.

    Nota Ldp.exe Ŕ incluso negli Strumenti di supporto di Microsoft Windows. Per installare gli Strumenti di supporto in Windows 2000, fare doppio clic su Setup.exe nella cartella Support\Tools presente sul CD di Windows 2000. Per installare gli Strumenti di supporto in Windows Server 2003, fare doppio clic su Supptools.msi nella cartella Support\Tools presente sul CD di Windows Server 2003.
  2. Connettersi al servizio Active Directory attenendosi alla seguente procedura:
    1. Scegliere Connect dal menu Connection, lasciare vuota la casella Server, quindi scegliere OK.
    2. Scegliere Bind dal menu Connection.
    3. Nella casella User digitare il nome dell'account utente con autorizzazioni di accesso in scrittura agli oggetti ISA Server in Active Directory. Generalmente viene utilizzato un account di amministratore di dominio.
    4. Nella casella Password digitare la password corrispondente all'account utente con autorizzazioni di accesso in scrittura agli oggetti ISA Server in Active Directory.
    5. Nella casella Domain digitare il dominio in cui si trova il computer che esegue ISA Server, quindi scegliere OK.
    6. Nel riquadro di destra verificare che venga visualizzato il messaggio seguente:
      Authenticated as dn:"NomeUtente".


      Nota Se il messaggio non viene visualizzato, significa che l'autenticazione non Ŕ stata completata. Non sarÓ possibile continuare finchÚ l'autenticazione non verrÓ effettuata correttamente in Active Directory.
  3. Accedere alla struttura di Active Directory attenendosi alla seguente procedura:
    1. Scegliere Tree dal menu View, quindi scegliere OK.
    2. Nel riquadro a sinistra espandere DC=esempio,DC=com, dove esempio.com Ŕ il nome del dominio in uso.
    3. Fare doppio clic su CN=System,DC=esempio,DC=com per espandere l'oggetto.
    4. Fare doppio clic su CN=Fpc,CN=System,DC=esempio,DC=com per espandere l'oggetto.
    5. Fare doppio clic su CN=Arrays,CN=Fpc,CN=System,DC=esempio,DC=com per espandere l'oggetto.
  4. Accedere a ciascun oggetto criterio dell'array attenendosi alla seguente procedura:
    1. In ogni oggetto dell'array fare doppio clic su CN=GUIDArray,CN=Arrays,CN=Fpc,CN=System,DC=esempio,DC=com per espandere l'oggetto.

      Sostituire GUIDArray con un GUID presente nell'oggetto Arrays che sarÓ simile a quello riportato di seguito:
      {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
    2. Fare doppio clic su CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=esempio,DC=com per espandere l'oggetto.
  5. Modificare la dimensione della cache DNS del servizio Firewall attenendosi alla seguente procedura:
    1. In CN=ArrayPolicy,CN=GUIDArray,CN=Arrays,CN=Fpc,CN=System,DC=esempio,DC=com, fare clic con il pulsante destro del mouse su CN=Proxy-WSP,CN=ArrayPolicy,CN=GUIDArray,CN=Arrays,CN=Fpc,CN=System,DC=esempio,DC=com, quindi scegliere Modify.
    2. Lasciare il valore predefinito nella casella Dn, digitare msFPCDnsCacheSize nella casella Attribute, quindi digitare 0 (zero) nella casella Values.
    3. In Operation fare clic su Replace, quindi su Enter e infine su Run.
    Se l'operazione viene completata correttamente, nel riquadro a destra verranno visualizzati dati analoghi ai seguenti:
    ***Call Modify... ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=esempio,DC=com',[1] attrs); Modified 
  6. Modificare la dimensione della cache DNS del servizio Web Proxy attenendosi alle istruzioni descritte nel passaggio 5. Sostituire tuttavia tutte le istanze di CN=Proxy-WSP con CN=WebProxy.
  7. Seguire i passaggi da 4 a 6 per modificare la dimensione della cache DNS del servizio Firewall e della cache DNS del servizio Web Proxy per ognuno degli oggetti CN=GUIDArray visualizzati sotto l'oggetto CN=Arrays.
  8. Uscire da LDP.
  9. Riavviare i servizi di ISA Server nell'azienda attenendosi alla seguente procedura:
    1. Avviare lo strumento ISA Management. A questo scopo, fare clic sul pulsante Start, scegliere Programs, quindi Microsoft ISA Server e fare clic su ISA Management.
    2. Espandere Servers and Arrays, espandere l'array, espandere Monitoring, quindi fare clic su Services.
    3. Fare clic con il pulsante destro del mouse sul servizio Web Proxy di ISA Server e scegliere Stop.
    4. Dopo avere arrestato il servizio, fare clic con il pulsante destro del mouse sul relativo nome, quindi scegliere Start.
    5. Fare clic con il pulsante destro del mouse su un servizio Firewall di ISA Server, quindi scegliere Stop.
    6. Dopo avere arrestato il servizio, fare clic con il pulsante destro del mouse sul relativo nome, quindi scegliere Start.
    7. Seguire i passaggi da c a f per riavviare i servizi per tutti i computer che eseguono ISA Server presenti nell'array.
    8. Seguire i passaggi da b a g per riavviare i servizi per tutti i computer che eseguono ISA Server in altri array.
  10. Uscire dallo snap-in MMC (Microsoft Management Console) ISA Management.

Per Microsoft Internet Security and Acceleration Server 2000 Standard Edition o ISA Server 2000 Enterprise Edition in modalitÓ autonoma

Avviso L'errato utilizzo dell'editor del Registro di sistema pu˛ causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non Ŕ in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema Ŕ a rischio e pericolo dell'utente.

Per risolvere questo problema per un computer che esegue ISA Server 2000 Standard Edition (SP1) o ISA Server 2000 Standard Edition SP2, attenersi alla seguente procedura:
  1. Avviare Registry Editor. Per effettuare questa operazione, fare clic sul pulsante Start, scegliere Run, digitare regedit, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<GUIDArray>\ArrayPolicy
    Sostituire GUIDArray con il GUID presente nella sottochiave di registro Arrays, che sarÓ simile a quello riportato di seguito:
    {88F55145-3365-4D10-8DE5-FD433537CFC6}
  3. Cambiare in zero il valore della dimensione della cache DNS del servizio Web Proxy attenendosi alla seguente procedura:
    1. In ArrayPolicy fare clic su WebProxy.
    2. Nel riquadro a destra fare clic con il pulsante destro del mouse su msFPCDnsCacheSize, quindi scegliere Modify.
    3. Nella casella Value data digitare 0 (zero), quindi scegliere OK.
  4. Cambiare in zero il valore della dimensione della cache DNS del servizio Firewall attenendosi alla seguente procedura:
    1. In ArrayPolicy fare clic su Proxy-WSP.
    2. Nel riquadro a destra fare clic con il pulsante destro del mouse su msFPCDnsCacheSize, quindi scegliere Modify.
    3. Nella casella Value data digitare 0 (zero), quindi scegliere OK.
  5. Chiudere Registry Editor.
  6. Avviare lo strumento ISA Management. A questo scopo, fare clic sul pulsante Start, scegliere Programs, quindi Microsoft ISA Server e fare clic su ISA Management.
  7. Espandere Servers and Arrays, espandere il server, espandere Monitoring, quindi fare clic su Services.
  8. Scegliere Advanced dal menu View.
  9. Fare clic con il pulsante destro del mouse sul servizio Web Proxy, quindi scegliere Stop.
  10. Dopo avere arrestato il servizio, fare clic con il pulsante destro del mouse sul relativo nome, quindi scegliere Start.
  11. Fare clic con il pulsante destro del mouse sul servizio Firewall, quindi scegliere Stop.
  12. Dopo avere arrestato il servizio, fare clic con il pulsante destro del mouse sul relativo nome, quindi scegliere Start.

Per Microsoft Proxy Server 2.0

Avviso L'errato utilizzo dell'editor del Registro di sistema pu˛ causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non Ŕ in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema Ŕ a rischio e pericolo dell'utente.

Per risolvere questo problema per un computer che esegue Microsoft Proxy Server 2.0 Service Pack 1 (SP1), attenersi alla seguente procedura:
  1. Avviare Registry Editor. Per effettuare questa operazione, fare clic sul pulsante Start, scegliere Run, digitare regedit, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
  3. Cambiare in zero il valore della dimensione della cache DNS del servizio Web Proxy attenendosi alla seguente procedura:
    1. Nel riquadro a destra fare clic con il pulsante destro del mouse su DnsCacheSize, quindi scegliere Modify.
    2. Nella casella Value data digitare 0 (zero), quindi scegliere OK.
  4. Chiudere Registry Editor.
  5. Avviare lo strumento Proxy management. A questo scopo, fare clic sul pulsante Start, scegliere Programs, quindi Microsoft Proxy Server e fare clic su Microsoft Management Console.
  6. Espandere il nodo del computer che esegue Proxy Server 2.0 SP1.
  7. Fare clic su Winsock proxy, quindi scegliere Stop dal menu Action.
  8. Dopo l'arresto del servizio, scegliere Start dal menu Action.
  9. Fare clic su Web Proxy, quindi scegliere Stop dal menu Action.
  10. Dopo l'arresto del servizio, scegliere Start dal menu Action.
Nota Per rendere automatiche le procedure descritte in questo articolo Ŕ disponibile uno script progettato per l'utilizzo con ISA Server 2000 e Proxy Server 2.0. Microsoft Internet Security and Acceleration (ISA) Server 2004 non Ŕ soggetto a questo problema di protezione, quindi lo script non Ŕ destinato all'utilizzo con ISA Server 2004. Per ottenere lo script, visitare il seguente sito Web:
http://isatools.org/ms04-039.js


Per cancellare la cache del proxy Web di ISA Server 2000 utilizzare lo strumento Clrcache.cmd. Per ottenere questo strumento, visitare il seguente sito Web:
http://isatools.org/clrcache.cmd
Microsoft fornisce informazioni su come contattare altri produttori allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni sono soggette a modifica senza preavviso. Microsoft non si assume alcuna responsabilitÓ sull'accuratezza delle informazioni relative al contatto con altri produttori.

Per ulteriori informazioni su come cancellare la cache del proxy Web in Proxy Server 2.0, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
811086 Cancellazione della cache in Microsoft Proxy Server 2.0


Per ulteriori informazioni sul ciclo di supporto per il prodotto Proxy Server 2.0, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/isaserver/evaluation/previousversions/ending.mspx

ProprietÓ

Identificativo articolo: 889189 - Ultima modifica: lunedý 3 dicembre 2007 - Revisione: 3.1
Le informazioni in questo articolo si applicano a
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 1
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Proxy Server 2.0 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
Chiavi:á
kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com