Устранение уязвимости, описанной в бюллетене по безопасности MS04-039 и позволяющей подменять содержимое кэша DNS в ISA Server 2000 и Proxy Server 2.0

Переводы статьи Переводы статьи
Код статьи: 889189 - Vizualiza?i produsele pentru care se aplic? acest articol.

Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений рекомендуется создать архивную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об использовании редактора реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Аннотация

Продукты Microsoft Internet Security and Acceleration (ISA) Server 2000 и Microsoft Proxy Server 2.0 подвержены уязвимости, описанной в бюллетене по безопасности MS04-039. Данная уязвимость позволяет подменять содержимое кэша DNS серверов ISA Server 2000 с пакетом обновления 1 (SP1), ISA Server 2000 с пакетом обновления 2 (SP2) и Proxy Server 2.0 с пакетом обновления 1 (SP1).

Бюллетень по безопасности MS04-039 содержит описание указанной уязвимости, а также ссылки на обновления безопасности, устраняющие эту уязвимость. В статье приведены инструкции, позволяющие защитить компьютеры, подверженные данной уязвимости, пока не будет установлено требуемое обновление безопасности.

Введение

В статье описывается временное решение по устранению уязвимости, описанной в бюллетене по безопасности MS04-039 и позволяющей выполнять подмену информации в кэше DNS.

Дополнительная информация

В бюллетене по безопасности MS04-039 описывается уязвимость, позволяющая злоумышленнику подменять надежную информацию, получаемую из Интернета. При этом пользователи, обращающиеся к доверенному узлу, на самом деле могут обращаться на узел злоумышленника. Чтобы воспользоваться описанной уязвимостью, злоумышленник должен заставить пользователя просмотреть сформированное специальным образом содержимое или щелкнуть ссылку на подобное содержимое.

Чтобы устранить данную уязвимость, установите обновление безопасности, описанное в бюллетене MS04-039.

Для временного решения проблемы используйте один из следующих методов.

Серверы Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition, объединенные в массив

Внимание! Неправильное изменение атрибутов объектов Active Directory с помощью оснастки редактирования ADSI, средства LDP или любого другого клиента LDAP версии 3 может вызвать возникновение серьезных неполадок. В некоторых случаях их устранение связано с переустановкой Windows 2000 Server, Windows Server 2003, Exchange 2000 Server, Exchange Server 2003 или операционной системы Windows одновременно с сервером Exchange. Корпорация Майкрософт не гарантирует устранения неполадок, являющихся результатом неправильного изменения атрибутов объектов Active Directory. Ответственность за результаты произведенных действий несет пользователь.

Для временного решения рассматриваемой проблемы на компьютерах, объединенных в массив и использующих ISA Server 2000 с пакетом обновления 1 (SP1) или ISA Server 2000 с пакетом обновления 2 (SP2), выполните следующие действия.
  1. Запустить средство LDP. Для этого выберите в меню Пуск пункт Выполнить, введите команду ldp.exe и нажмите кнопку ОК.

    Примечание. Средство Ldp.exe входит в состав набора Microsoft Windows Support Tools. Чтобы установить набор Windows Support Tools на компьютере под управлением Windows 2000, дважды щелкните файл Setup.exe, находящийся на компакт-диске Windows 2000 в папке Support\Tools. Чтобы установить набор Windows Support Tools на компьютере под управлением Windows 2003, дважды щелкните файл Supptools.msi, находящийся на компакт-диске Windows 2003 в папке Support\Tools.
  2. Подключитесь к службе каталогов Active Directory. Для этого выполните следующие действия.
    1. В меню Connection выберите команду Connect, оставьте поле Server пустым и нажмите кнопку ОК.
    2. В меню Connection выберите команду Bind.
    3. В поле User укажите имя пользователя, обладающего правом записи для объектов ISA Server, находящихся в базе данных Active Directory. Как правило, подобными правами обладает администратор домена.
    4. В поле Password укажите пароль учетной записи пользователя, указанной на предыдущем шаге.
    5. В поле Domain введите имя домена, в котором находится компьютер с сервером ISA Server, и нажмите кнопку ОК.
    6. Проверьте, появилось ли на правой панели следующее сообщение.
      Authenticated as dn:'имя_пользователя'.


      Примечание. Если данное сообщение не появилось, значит, проверка подлинности не выполнена. Чтобы продолжить работу, необходимо пройти проверку подлинности в Active Directory.
  3. Подключитесь к дереву Active Directory. Для этого выполните следующие действия.
    1. В меню View выберите команду Tree и нажмите кнопку ОК.
    2. На левой панели разверните узел DC=имя_домена,DC=com, где имя_домена.com — имя нужного домена.
    3. Разверните узел CN=System,DC=имя_домена,DC=com. Для этого дважды щелкните данный узел.
    4. Разверните узел CN=Fpc,CN=System,DC=имя_домена,DC=com. Для этого дважды щелкните данный узел.
    5. Разверните узел CN=Arrays,CN=Fpc,CN=System,DC=имя_домена,DC=com. Для этого дважды щелкните данный узел.
  4. Внесите изменения во все объекты политик массива. Для этого выполните следующие действия.
    1. Для каждого объекта, соответствующего массиву, разверните узел CN=идентификатор_массива_GUID,CN=Arrays,CN=Fpc,CN=System,DC=имя_домена,DC=com. Для этого дважды щелкните данный узел.

      Замените идентификатор_массива_GUID значением идентификатора GUID, отображаемым для объекта Arrays. Идентификатор GUID может выглядеть следующим образом:
      {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
    2. Разверните узел CN=ArrayPolicy,CN=идентификатор_массива_GUID,CN=Arrays,CN=Fpc,CN=System,DC=имя_домена,DC=com. Для этого дважды щелкните данный узел.
  5. В параметрах службы Firewall измените размер кэша DNS. Для этого выполните следующие действия.
    1. В узле CN=ArrayPolicy,CN=идентификатор_массива_GUID,CN=Arrays,CN=Fpc,CN=System,DC=имя_домена,DC=com щелкните правой кнопкой мыши элемент CN=Proxy-WSP,CN=ArrayPolicy,CN=идентификатор_массива_GUID,CN=Arrays,CN=Fpc,CN=System,DC=имя_домена,DC=com и выберите команду Modify.
    2. В поле Dn оставьте значение по умолчанию, в поле Attribute введите msFPCDnsCacheSize, а в поле Values введите 0 (ноль).
    3. В группе Operation выберите Replace, выберите Enter и нажмите кнопку Run.
    При успешном завершении операции на правой панели появляется сообщение следующего вида:
    ***Call Modify... ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com',[1] attrs); Modified 
  6. В параметрах службы Web Proxy измените размер кэша DNS. Для этого выполните действия, описанные на шаге 5, а вместо имени CN=Proxy-WSP используйте имя CN=WebProxy.
  7. Выполните шаги 4 - 6, чтобы изменить размер кэша DNS служб Firewall и Web Proxy для всех объектов CN=идентификатор_массива_GUID, входящих в объект CN=Arrays.
  8. Закройте средство LDP.
  9. Перезапустите службы ISA Server на всех компьютерах организации. Для этого выполните следующие действия.
    1. Запустите консоль управления сервером ISA. Для этого нажмите кнопку Пуск и выберите последовательно пункты Программы, Microsoft ISA Server и ISA Management.
    2. Разверните узел Servers and Arrays, разверните узел, соответствующий нужному массиву, и последовательно разверните узлы Monitoring и Services.
    3. Щелкните правой кнопкой мыши службу Web Proxy и выберите команду Stop.
    4. После остановки службы повторно щелкните данную службу правой кнопкой мыши и выберите команду Start.
    5. Щелкните правой кнопкой мыши службу Firewall и выберите команду Stop.
    6. После остановки службы повторно щелкните данную службу правой кнопкой мыши и выберите команду Start.
    7. Выполните шаги c-f для всех компьютеров текущего массива серверов ISA.
    8. Выполните шаги b-g для всех компьютеров остальных массивов серверов ISA.
  10. Закройте консоль управления сервером ISA.

Изолированный сервер Microsoft Internet Security and Acceleration Server 2000 Standard Edition или ISA Server 2000 Enterprise Edition

Внимание! Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

Для временного решения рассматриваемой проблемы на компьютерах, на которых установлен сервер ISA Server 2000 Standard Edition с пакетом обновления 1 (SP1) или ISA Server 2000 Standard Edition с пакетом обновления 2 (SP2) выполните следующие действия.
  1. Откройте редактор реестра. Для этого выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
  2. Найдите и выберите раздел реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<идентификатор_массива_GUID>\ArrayPolicy
    Замените идентификатор_массива_GUID значением идентификатора GUID, отображаемым в разделе Arrays. Идентификатор GUID может выглядеть следующим образом:
    {88F55145-3365-4D10-8DE5-FD433537CFC6}
  3. В параметрах службы Web Proxy установите размер кэша DNS равным нулю. Для этого выполните следующие действия.
    1. В разделе реестра ArrayPolicy щелкните раздел WebProxy.
    2. На правой панели щелкните правой кнопкой мыши параметр msFPCDnsCacheSize и выберите команду Изменить.
    3. В поле Значение введите 0 (ноль) и нажмите кнопку ОК.
  4. В параметрах службы Firewall установите размер кэша DNS равным нулю. Для этого выполните следующие действия.
    1. В разделе реестра ArrayPolicy щелкните раздел Proxy-WSP.
    2. На правой панели щелкните правой кнопкой мыши параметр msFPCDnsCacheSize и выберите команду Изменить.
    3. В поле Значение введите 0 (ноль) и нажмите кнопку ОК.
  5. Закройте редактор реестра.
  6. Запустите консоль управления сервером ISA. Для этого нажмите кнопку Пуск и выберите последовательно пункты Программы, Microsoft ISA Server и ISA Management.
  7. Разверните раздел Servers and Arrays, разверните раздел, соответствующий нужному серверу, и последовательно разверните узлы Monitoring и Services.
  8. В меню View выберите команду Advanced.
  9. Щелкните службу Web Proxy правой кнопкой мыши и выберите команду Stop.
  10. После остановки службы повторно щелкните данную службу правой кнопкой мыши и выберите команду Start.
  11. Щелкните службу Firewall правой кнопкой мыши и выберите команду Stop.
  12. После остановки службы повторно щелкните данную службу правой кнопкой мыши и выберите команду Start.

Сервер Microsoft Proxy Server 2.0

Внимание! Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

Для временного решения рассматриваемой проблемы на компьютерах, на которых установлен сервер Microsoft Proxy Server 2.0 с пакетом обновления 1 (SP1), выполните следующие действия.
  1. Откройте редактор реестра. Для этого выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
  2. Найдите и выделите раздел реестра
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
  3. В параметрах службы Web Proxy установите размер кэша DNS равным нулю. Для этого выполните следующие действия.
    1. На правой панели щелкните правой кнопкой мыши параметр DnsCacheSize и выберите команду Изменить.
    2. В поле Значение введите 0 (ноль) и нажмите кнопку ОК.
  4. Закройте редактор реестра.
  5. Запустите консоль управления сервером Microsoft Proxy. Для этого нажмите кнопку Пуск и выберите последовательно пункты Программы, Microsoft Proxy Server и Microsoft Management Console.
  6. Разверните узел, соответствующий компьютеру, на котором установлен сервер Proxy Server 2.0 с пакетом обновления 1 (SP1).
  7. Выделите службу Winsock proxy и выберите в меню Action команду Stop.
  8. После остановки службы выберите в меню Action команду Start.
  9. Выделите службу Web Proxy и выберите в меню Action команду Stop.
  10. После остановки службы выберите в меню Action команду Start.
Примечание. Для автоматизации выполнения инструкций, содержащихся в данной статье, можно использовать приведенный ниже сценарий. Данный сценарий предназначен для использования с серверами ISA Server 2000 и Proxy Server 2.0. Сервер Microsoft Internet Security and Acceleration (ISA) Server 2004 не подвержен указанной уязвимости, поэтому этот сценарий не запускается на сервере ISA Server 2004. Чтобы получить сценарий, обратитесь на следующий веб-узел:
http://isatools.org/ms04-039.js


Чтобы очистить кэш сервера ISA Server 2000, воспользуйтесь средством Clrcache.cmd, которое можно загрузить со следующего веб-узла:
http://isatools.org/clrcache.cmd
Контактная информация о независимых производителях предоставлена в данной статье с целью помочь пользователям в получении необходимой технической поддержки. Данная информация может быть изменена без предварительного уведомления. Корпорация Майкрософт не дает никаких явных или подразумеваемых гарантий относительно корректности приведенной контактной информации о независимых производителях.

Дополнительные сведения об очистке кэша сервера Proxy Server 2.0 см. в следующей статье базы знаний Майкрософт:
811086 Как очистить кэш сервера Microsoft Proxy Server 2.0


Дополнительные сведения о жизненном цикле поддержки продукта Proxy Server 2.0 см. на веб-узле Майкрософт по адресу:
http://www.microsoft.com/isaserver/evaluation/previousversions/ending.mspx

Свойства

Код статьи: 889189 - Последний отзыв: 3 декабря 2007 г. - Revision: 3.1
Информация в данной статье относится к следующим продуктам.
  • пакет обновлений Microsoft Internet Security and Acceleration Server 2000 SP 1
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Proxy Server 2.0 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
Ключевые слова: 
kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com