Lösningar på problemet med falska data i ISA Server 2000 och Proxy Server 2.0 DNS som beskrivs i Microsoft-säkerhetsbulletinen MS04-039

Artikelöversättning Artikelöversättning
Artikel-id: 889189 - Visa produkter som artikeln gäller.

Viktigt! Denna artikel innehåller information om hur du redigerar registret. Innan du redigerar registret måste du vara säker på att du kan återställa det om det uppstår något problem. Om du vill veta mer om hur du säkerhetskopierar, återställer och redigerar registret klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
256986 Beskrivning av registret i Microsoft Windows
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Microsoft Internet Security and Acceleration (ISA) Server 2000 och Microsoft Proxy Server 2.0 påverkas av säkerhetsproblemet som beskrivs i Microsoft-säkerhetsbulletinen MS04-039. I detta scenario kan DNS-cachen i ISA Server 2000 Service Pack 1 (SP1), ISA Server 2000 Service Pack 2 (SP2) eller Proxy Server 2.0 Service Pack 1 (SP1) innehålla falska data.

Det här säkerhetsproblemet beskrivs i Microsoft-säkerhetsbulletinen MS04-039, som dessutom innehåller länkar för hämtning av säkerhetsuppdateringarna som löser problemet. Den här artikeln innehåller instruktioner för skydd av datorer tills säkerhetsuppdateringen kan installeras.

Microsoft-säkerhetsbulletinen MS04-039

INLEDNING

I den här artikeln beskrivs en lösning på säkerhetsproblemet med DNS-cachen som beskrivs i Microsoft-säkerhetsbulletinen MS04-039:
Microsoft-säkerhetsbulletinen MS04-039

Mer Information

I Microsoft-säkerhetsbulletinen MS04-039 beskrivs ett säkerhetsproblem som kan utnyttjas för att imitera tillförlitligt Internetinnehåll. I det här scenariot kan användare tro sig besöka en tillförlitlig Internetplats, medan de i själva verket besöker en plats med skadligt innehåll. En angripare måste först förmå användaren att visa det skadliga innehållet eller klicka på en länk till det.

Lös problemet genom att installera säkerhetsuppdateringen som beskrivs i Microsoft-säkerhetsbulletinen MS04-039.
Microsoft-säkerhetsbulletinen MS04-039


Undvik problemet med någon av följande metoder:

Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition installerat i en matris

Varning! Om du använder snapin-modulen ADSI Edit, LDP-verktyget eller någon annan LDAP version 3-klient och felaktigt ändrar attributen för Active Directory-objekt kan det medföra allvarliga problem. I så fall kan du bli tvungen att installera om Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 eller både Windows och Exchange. Microsoft kan inte garantera att problem som kan uppstå vid felaktiga ändringar av attribut till Active Directory-objekt kan lösas. Ändra attributen på egen risk.

Så här undviker du problemet för ISA Server 2000 Service Pack 1 (SP1) eller ISA Server 2000 Service Pack 2 (SP2) i en företagsmatris:
  1. Starta LDP-verktyget så här: klicka på Start, Kör, skriv ldp.exe och klicka på OK.

    Obs! Ldp.exe ingår i Microsoft Windows supportverktyg. Installera Windows supportverktyg i Windows 2000 genom att dubbelklicka på Setup.exe i mappen Support\Tools på Windows 2000-CD:n. Installera Windows supportverktyg i Windows Server 2003 genom att dubbelklicka på Supptools.msi i mappen Support\Tools på Windows Server 2003-CD:n.
  2. Anslut till Active Directory-katalogtjänsten så här:
    1. Klicka på ConnectConnection-menyn, lämna rutan Server tom och klicka på OK.
    2. Klicka på BindConnection-menyn.
    3. I rutan User skriver du namnet på ett användarkonto med skrivbehörighet för ISA Server-objekt i Active Directory. Normalt är detta ett domänadministratörskonto.
    4. I rutan Password skriver du lösenordet för användarkontot som har skrivbehörighet för ISA Server-objekt i Active Directory.
    5. I rutan Domain skriver du domänen där ISA Server-datorn finns och klickar sedan på OK.
    6. Kontrollera att följande meddelande visas i den högra rutan:
      Authenticated as dn:'UserName'.


      Obs! Om meddelandet inte visas är du inte autentiserad. Du kan inte fortsätta förrän du har autentiserats i Active Directory.
  3. Öppna Active Directory-trädet så här:
    1. Klicka på TreeView-menyn och sedan på OK.
    2. I den vänstra rutan expanderar du DC=exempel,DC=com, där exempel.com är namnet på domänen.
    3. Expandera objektet genom att dubbelklicka på CN=System,DC=exempel,DC=com.
    4. Expandera objektet genom att dubbelklicka på CN=Fpc,CN=System,DC=exempel,DC=com.
    5. Expandera objektet genom att dubbelklicka på CN=Arrays,CN=Fpc,CN=System,DC=exempel,DC=com.
  4. Öppna varje matrisprincipobjekt så här:
    1. Expandera objektet genom att dubbelklicka på CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=exempel,DC=com under varje matrisobjekt.

      Byt ut ArrayGUID mot en GUID som visas under objektet Arrays. Denna GUID liknar följande:
      {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
    2. Expandera objektet genom att dubbelklicka på CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=exempel,DC=com.
  5. Ändra DNS-cachestorleken för tjänsten Brandvägg så här:
    1. Under CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=exempel,DC=com högerklickar du på CN=Proxy-WSP,CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=exempel,DC=com och klickar sedan på Modify.
    2. Låt standardvärdet stå kvar i rutan Dn, skriv msFPCDnsCacheSize i rutan Attribute och skriv sedan 0 (noll) i rutan Values.
    3. Klicka på Replace under Operation, Enter och Run.
    Om åtgärderna lyckas visas information av följande slag i den högra rutan:
    ***Call Modify... ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com',[1] attrs); Modified 
  6. Ändra DNS-cachestorleken för tjänsten Webbproxy genom att följa instruktionerna i steg 5. Ersätt emellertid alla förekomster av CN=Proxy-WSP med CN=WebProxy i det här steget.
  7. Följ anvisningarna i steg 4 till och med 6 och ändra DNS-cachestorleken för tjänsterna Brandvägg och Webbproxy för alla CN=ArrayGUID-objekt under CN=Arrays-objektet.
  8. Avsluta LDP.
  9. Starta om ISA Server-tjänsterna i företaget så här:
    1. Starta ISA Management så här: klicka på Start, peka på Program, peka på Microsoft ISA Server och klicka på ISA Management.
    2. Expandera Servers and Arrays, expandera matrisen, expandera Monitoring och klicka på Services.
    3. Högerklicka på Webbproxy-tjänsten för en ISA Server och klicka på Stop.
    4. När tjänsten har avslutats högerklickar du på den och klickar sedan på Start.
    5. Högerklicka på tjänsten Brandvägg för en ISA Server och klicka på Stop.
    6. När tjänsten har avslutats högerklickar du på den och klickar sedan på Start.
    7. Starta om tjänsterna för samtliga ISA-servrar i matrisen genom att följa anvisningarna i steg c till och med f.
    8. Starta om tjänsterna för samtliga ISA-servrar i övriga matriser genom at följa anvisningarna i steg b till och med g.
  10. Starta MMC-snapin-modulen (Microsoft Management Console) ISA Management.

Microsoft Internet Security and Acceleration Server 2000 Standard Edition eller ISA Server 2000 Enterprise Edition i fristående läge

Varning! Om du använder Registereditorn fel kan det medföra att du måste installera om operativsystemet. Microsoft kan inte garantera att du kan lösa problem som uppstår på grund av felaktig användning av Registereditorn. Använd Registereditorn på egen risk.

Så här undviker du problemet på en dator med ISA Server 2000 Standard Edition (SP1) eller ISA Server 2000 Standard Edition SP2:
  1. Starta Registereditorn så här: klicka på Start, Kör, skriv regedit och klicka på OK.
  2. Leta upp och klicka på följande registerundernyckel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<ArrayGUID>\ArrayPolicy
    Byt utArrayGUID mot GUID:en som visas under registerundernyckeln Arrays och ser ut ungefär så här:
    {88F55145-3365-4D10-8DE5-FD433537CFC6}
  3. Ändra värdet för DNS-cachestorleken i tjänsten Webbproxy till noll så här:
    1. Klicka på WebProxy under ArrayPolicy.
    2. Högerklicka på msFPCDnsCacheSize i den högra rutan, och klicka sedan på Ändra.
    3. Skriv 0 (noll) i rutan Data, och klicka sedan på OK.
  4. Ändra värdet för DNS-cachestorleken i tjänsten Brandvägg till noll så här:
    1. Klicka på Proxy-WSP under ArrayPolicy.
    2. Högerklicka på msFPCDnsCacheSize i den högra rutan, och klicka sedan på Ändra.
    3. Skriv 0 (noll) i rutan Data, och klicka sedan på OK.
  5. Avsluta Registereditorn.
  6. Starta ISA Management så här: klicka på Start, peka på Program, peka på Microsoft ISA Server och klicka på ISA Management.
  7. Expandera Servers and Arrays, expandera servern, expandera Monitoring och klicka på Services.
  8. Klicka på AdvancedView-menyn.
  9. Högerklicka på tjänsten Webbproxy och klicka sedan på Stop.
  10. När tjänsten har avslutats högerklickar du på den och klickar sedan på Start.
  11. Högerklicka på tjänsten Brandvägg och klicka sedan på Stop.
  12. När tjänsten har avslutats högerklickar du på den och klickar sedan på Start.

Microsoft Proxy Server 2.0

Varning! Om du använder Registereditorn fel kan det medföra att du måste installera om operativsystemet. Microsoft kan inte garantera att du kan lösa problem som uppstår på grund av felaktig användning av Registereditorn. Använd Registereditorn på egen risk.

Så här undviker du problemet på en dator med Microsoft Proxy Server 2.0 Service Pack 1 (SP1):
  1. Starta Registereditorn så här: klicka på Start, Kör, skriv regedit och klicka på OK.
  2. Leta upp och klicka på följande registerundernyckel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
  3. Ändra värdet för DNS-cachestorleken i tjänsten Webbproxy till noll så här:
    1. högerklicka på DnsCacheSize i den högra rutan, och klicka sedan på Ändra.
    2. Skriv 0 (noll) i rutan Data, och klicka sedan på OK.
  4. Avsluta Registereditorn.
  5. Starta Proxy-hanteringsverktyget så här: klicka på Start, peka på Program, peka på Microsoft Proxy Server och klicka på Microsoft Management Console.
  6. Expandera noden för datorn med Proxy Server 2.0 SP1.
  7. Klicka på Winsock proxy och sedan på StopAction-menyn.
  8. När tjänsten har avbrutits klickar du på StartAction-menyn.
  9. Klicka på Web Proxy och sedan på StopAction-menyn.
  10. När tjänsten har avbrutits klickar du på StartAction-menyn.
Obs! Det finns ett skript för att automatisera åtgärderna i den här artikeln. Skriptet är avsett för ISA Server 2000 och Proxy Server 2.0. Microsoft Internet Security and Acceleration (ISA) Server 2004 påverkas inte av det här säkerhetsproblemet, och skriptet är därför inte avsett för detta program. Skriptet kan hämtas på följande webbplats:
http://isatools.org/ms04-039.js


Webbproxycachen i ISA Server 2000 kan rensas med hjälp av Clrcache.cmd, som kan hämtas på följande webbplats:
http://isatools.org/clrcache.cmd
Kontaktinformationen för andra företag som lämnas i denna artikel kan hjälpa dig att hitta den tekniska support du behöver. Denna information kan ändras utan föregående meddelande. Microsoft garanterar inte på något sätt att kontaktinformationen är korrekt.

Om du vill veta mer om hur du rensar webbproxycachen i Proxy Server 2.0, klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
811086 Rensa cacheminnet i Microsoft Proxy Server 2.0


Mer information om supportlivscykeln för Proxy Server 2.0 finns på följande Microsoft-webbplats:
http://www.microsoft.com/isaserver/evaluation/previousversions/ending.mspx

Egenskaper

Artikel-id: 889189 - Senaste granskning: den 3 december 2007 - Revision: 3.1
Informationen i denna artikel gäller:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 1
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Proxy Server 2.0 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
Nyckelord: 
kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com