Como solucionar a vulnerabilidade de falsificação do ISA Server 2000 e do Proxy Server 2.0 DNS descrito no Boletim de segurança da Microsoft MS04-039

Traduções deste artigo Traduções deste artigo
ID do artigo: 889189 - Exibir os produtos aos quais esse artigo se aplica.

Importante Este artigo contém informações sobre como modificar o Registro. Antes de modificá-lo, faça um backup e certifique-se de que saiba como restaurá-lo caso ocorra algum problema. Para obter informações sobre como fazer backup, restaurar e modificar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
256986 Descrição do Registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

Sumário

O Microsoft Internet Security and Acceleration (ISA) Server 2000 e o Microsoft Proxy Server 2.0 são afetados pela vulnerabilidade de segurança descrita no Boletim de segurança da Microsoft MS04-039. Nessa situação, o cache DNS do ISA Server 2000 Service Pack 1 (SP1), ISA Server 2000 Service Pack 2 (SP2) ou Proxy Server 2.0 Service Pack 1 (SP1) pode ser falsificado.

Essa vulnerabilidade está descrita no Boletim de segurança da Microsoft MS04-039. Além disso, o Boletim de segurança da Microsoft contém os links para download das atualizações de segurança que abordam esse problema. Este artigo contém instruções que podem ser usadas para ajudar a proteger seus sistemas desse problema até que possa instalar a atualização de segurança (em inglês).

Boletim de segurança da Microsoft MS02-039

INTRODUÇÃO

Este artigo descreve como solucionar a vulnerabilidade do cache DNS descrita no seguinte Boletim de segurança da Microsoft MS04-039 (em inglês):
Boletim de segurança da Microsoft MS04-039

Mais Informações

Esse boletim descreve uma vulnerabilidade que pode permitir que um usuário mal-intencionado falsifique um conteúdo da Internet confiável. Nessa situação, os usuários podem ser levados a crer que estão visitando um site da Internet confiável, quando na verdade, estão visitando um site criado para fins mal-intencionados. Para tentar explorar essa vulnerabilidade, um invasor teria que convencer um usuário a visualizar seus conteúdos mal-intencionados ou clicar em um link para um conteúdo mal-intencionado.

Para resolver esse problema, instale a atualização de segurança descrita no Boletim de segurança da Microsoft MS04-039.
Boletim de segurança da Microsoft MS04-039


Para solucionar esse problema, use um dos seguintes métodos.

Para que o Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition seja instalado em uma matriz

Aviso Se usar o snap-in ADSI Edit, o utilitário LDP ou qualquer outro cliente de LDAP versão 3 e modificar incorretamente os atributos dos objetos do Active Directory, problemas sérios poderão ocorrer. Esses problemas podem exigir a reinstalação do Microsoft Windows 2000 Server, do Microsoft Windows Server 2003, do Microsoft Exchange 2000 Server, do Microsoft Exchange Server 2003 do Windows ou do Exchange. A Microsoft não garante que os problemas decorrentes da modificação incorreta dos atributos do objeto do Active Directory possam ser resolvidos. A modificação desses atributos é de sua responsabilidade.

Para solucionar esse problema para o ISA Server 2000 Service Pack 1 (SP1) ou ISA Server 2000 Service Pack 2 (SP2) em uma matriz empresarial, execute estas etapas:
  1. Inicie a ferramenta LDP. Para fazer isto, clique em Iniciar, em Executar, digite ldp.exe e clique em OK.

    Observação O Ldp.exe está incluído com as ferramentas de suporte do Microsoft Windows. Para instalar as ferramentas de suporte do Windows no Windows 2000, clique duas vezes em Setup.exe na pasta Suporte\Ferramentas no CD do Windows 2000. Para instalar as ferramentas de suporte do Windows no Windows Server 2003, clique duas vezes em Supptools.msi na pasta Suporte\Ferramentas no CD do Windows Server 2003.
  2. Conecte-se ao serviço de diretório do Active Directory. Para fazer isto, execute as seguintes etapas:
    1. No menu Conexão, clique em Conectar, deixe a caixa Servidor em branco e clique em OK.
    2. No menu Conexão, clique em Vincular.
    3. Na caixa Usuário, digite o nome da conta de um usuário que possui acesso de gravação para o ISA Server objects no Active Directory. Normalmente, essa é uma conta de administrador de domínio.
    4. Na caixa Senha, digite a senha que corresponde à conta do usuário que possui acesso de gravação para objetos do servidor ISA Server no Active Directory.
    5. Na caixa Domínio, digite o domínio no qual o computador com ISA Server está localizado e clique em OK.
    6. No painel direito, verifique se a seguinte mensagem é exibida:
      Autenticado como dn:'NomeDoUsuário'.


      Observação Se essa mensagem não for exibida, isso significa que você não está autenticado. Não é possível continuar até que você esteja autenticado no Active Directory com êxito.
  3. Acesse a árvore do Active Directory. Para fazer isto, execute as seguintes etapas:
    1. No menu Exibir, clique em Árvore e clique em OK.
    2. No painel esquerdo, expanda DC=exemplo, DC=com, no qual exemplo.com é o nome de seu domínio.
    3. Clique duas vezes em CN=System,DC=exemplo, DC=com para expandir esse objeto.
    4. Clique duas vezes em CN=Fpc,CN=System,DC=exemplo, DC=com para expandir esse objeto.
    5. Clique duas vezes em CN=Arrays,CN=Fpc,CN=System,DC=exemplo, DC=com para expandir esse objeto.
  4. Acesse cada objeto de diretiva matriz. Para fazer isto, execute as seguintes etapas:
    1. Em cada objeto matriz, clique duas vezes em CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=exemplo, DC=com para expandir esse objeto.

      Substitua ArrayGUID por um GUID que aparece no objeto Matriz. Esse GUID é semelhante ao seguinte:
      {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
    2. Clique duas vezes em CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=exemplo, DC=com para expandir esse objeto.
  5. Modifique o tamanho do cache DNS do serviço de Firewall. Para fazer isto, execute as seguintes etapas:
    1. Em CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=exemplo, DC=com, clique com o botão direito do mouse em CN=Proxy-WSP,CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=exemplo, DC=com e clique em Modificar.
    2. Deixe o valor padrão na caixa Dn, digite msFPCDnsCacheSize na caixa Atributo e digite 0 (zero) na caixa Valores.
    3. Em Operação, clique em Substituir, clique Enter e clique em Executar.
    Se a operação for concluída com êxito, uma informação semelhante à seguinte será exibida no painel direito:
    ***Call Modify... ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com',[1] attrs); Modified 
  6. Modifique o tamanho do cache DNS do serviço Web Proxy. Para fazer isto, siga as instruções na etapa 5. No entanto, nesta etapa, substitua todas as instâncias de CN=Proxy-WSP por CN=WebProxy.
  7. Execute as etapas 4 a 6 para modificar o tamanho do cache DNS do serviço de firewall e o tamanho do cache DNS do serviço Web Proxy para cada um dos objetos CN=ArrayGUID que aparecem no objeto CN=Arrays.
  8. Encerre o LDP.
  9. Reinicie os serviços do ISA Server na sua empresa. Para fazer isto, execute as seguintes etapas:
    1. Inicie a ferramenta de gerenciamento do ISA. Para fazer isto, clique em Iniciar, aponte para Programas, aponte para Microsoft ISA Server e clique em Gerenciamento do ISA.
    2. Expanda Servidores e matrizes, expanda sua matriz, expanda Monitoramento e clique em Serviços.
    3. Clique com o botão direito do mouse em um serviço Web Proxy do ISA Server e clique em Parar.
    4. Quando esse serviço tiver sido interrompido com êxito, clique com o botão direito do mouse em Iniciar.
    5. Clique com o botão direito do mouse em um serviço de firewall do ISA Server e clique em Parar.
    6. Quando esse serviço tiver sido interrompido com êxito, clique com o botão direito do mouse em Iniciar.
    7. Execute as etapas C a F para reiniciar os serviços para todos os servidores ISA na sua matriz.
    8. Execute as etapas B a G para reiniciar os serviços para todos os servidores ISA nas outras matrizes.
  10. Encerre o snap-in do MMC de gerenciamento do ISA.

Para o Microsoft Internet Security and Acceleration Server 2000 Standard Edition ou ISA Server 2000 Enterprise Edition no modo autônomo

Aviso O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.

Para solucionar esse problema em um computador que esteja executando o ISA Server 2000 Standard Edition (SP1) ou o ISA Server 2000 Standard Edition SP2, execute as seguintes etapas:
  1. Inicie o Editor do Registro. Para fazer isto, clique em Iniciar, clique em Executar, digite regedit e clique em OK.
  2. Localize e clique na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<ArrayGUID>\ArrayPolicy
    SubstituaArrayGUID por um GUID que aparece na subchave do Registro Arrays. Esse GUID é semelhante ao seguinte:
    {88F55145-3365-4D10-8DE5-FD433537CFC6}
  3. Altere o valor do tamanho do cache DNS do serviço Web Proxy para zero. Para fazer isto, execute as seguintes etapas:
    1. Em ArrayPolicy, clique em WebProxy.
    2. No painel direito, clique com o botão direito em msFPCDnsCacheSize e clique em Modificar.
    3. Na caixa Dados do valor, digite 0 (zero) e clique em OK.
  4. Altere o valor do tamanho do cache DNS do serviço de firewall para zero. Para fazer isto, execute as seguintes etapas:
    1. Em ArrayPolicy, clique em Proxy-WSP.
    2. No painel direito, clique com o botão direito em msFPCDnsCacheSize e clique em Modificar.
    3. Na caixa Dados do valor, digite 0 (zero) e clique em OK.
  5. Encerre o Editor do Registro.
  6. Inicie a ferramenta de gerenciamento do ISA. Para fazer isto, clique em Iniciar, aponte para Programas, aponte para Microsoft ISA Server e clique em Gerenciamento do ISA.
  7. Expanda Servidores e matrizes, expanda seu servidor, expanda Monitoramento e clique em Serviços.
  8. No menu Exibir, clique em Avançado.
  9. Clique com o botão direito do mouse no serviço Web proxy e clique em Parar.
  10. Quando esse serviço tiver sido interrompido com êxito, clique com o botão direito do mouse em Iniciar.
  11. Clique com o botão direito do mouse no serviço de firewall e clique em Parar.
  12. Quando esse serviço tiver sido interrompido com êxito, clique com o botão direito do mouse em Iniciar.

Para Microsoft Proxy Server 2.0

Aviso O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.

Para solucionar esse problema em um computador que esteja executando o Microsoft Proxy Server 2.0 Service Pack 1 (SP1), execute estas etapas:
  1. Inicie o Editor do Registro. Para fazer isto, clique em Iniciar, clique em Executar, digite regedit e clique em OK.
  2. Localize e clique na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
  3. Altere o valor do tamanho do cache DNS do serviço Web Proxy para zero. Para fazer isto, execute as seguintes etapas:
    1. No painel direito, clique com o botão direito do mouse em DnsCacheSize e clique em Modificar.
    2. Na caixa Dados do valor, digite 0 (zero) e clique em OK.
  4. Encerre o Editor do Registro.
  5. Inicie a ferramenta de gerenciamento de Proxy. Para fazer isto, clique em Iniciar, aponte para Programas, aponte para Microsoft Proxy Server e clique em Console de gerenciamento da Microsoft.
  6. Expanda o nó do computador que está executando o Proxy Server 2.0 SP1.
  7. Clique em Winsock proxy e clique em Parar no menu Ação.
  8. Quando o serviço tiver sido interrompido com êxito, clique em Parar no menu Ação.
  9. Clique em Web Proxy e clique em Parar no menu Ação.
  10. Quando o serviço tiver sido interrompido com êxito, clique em Parar no menu Ação.
Observação Foi disponibilizado um script para automatizar as etapas descritas neste artigo. Este script foi desenvolvido para trabalhar no ISA Server 2000 e no Proxy Server 2.0. O ISA (Microsoft Internet Security and Acceleration) Server 2004 não é afetado por essa vulnerabilidade e esse script não foi desenvolvido para ser executado no ISA Server 2004. Para obter esse script, visite o seguinte site (em inglês):
http://isatools.org
Para limpar o cache do ISA Server 2000 Web proxy, use a ferramenta Clrcache.cmd. Para obter essa ferramenta, visite o seguinte site (em inglês):
http://isatools.org
A Microsoft fornece informações para contato com terceiros para ajudá-lo a encontrar suporte técnico. Estas informações podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão destas informações.

Para obter informações adicionais sobre limpar o cache do Web proxy no Proxy Server 2.0, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
811086 Como limpar o cache no Microsoft Proxy Server 2.0


Para obter informações adicionais sobre o ciclo de vida do atendimento do Proxy Server 2.0, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/isaserver/evaluation/previousversions/ending.mspx

Propriedades

ID do artigo: 889189 - Última revisão: segunda-feira, 3 de dezembro de 2007 - Revisão: 5.1
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 1
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Proxy Server 2.0 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
Palavras-chave: 
kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com