如何解决 Microsoft 安全公告 MS04-039 中介绍的 ISA Server 2000 和 Proxy Server 2.0 DNS 欺骗漏洞

文章翻译 文章翻译
文章编号: 889189 - 查看本文应用于的产品

重要说明:本文包含有关修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
展开全部 | 关闭全部

本文内容

概要

Microsoft Internet Security and Acceleration (ISA) Server 2000 和 Microsoft Proxy Server 2.0 会受到 Microsoft 安全公告 MS04-039 中介绍的安全漏洞的影响。在这种情况下,ISA Server 2000 Service Pack 1 (SP1)、ISA Server 2000 Service Pack 2 (SP2) 或 Proxy Server 2.0 Service Pack 1 (SP1) 中的 DNS 缓存可能会被欺骗。

Microsoft 安全公告 MS04-039 介绍了此漏洞。此外,该 Microsoft 安全公告还包含可解决此问题的安全更新的下载链接。本文包含的说明可用来帮助您在安装安全更新之前防止系统出现此问题。

Microsoft 安全公告 MS04-039

简介

本文介绍如何解决以下 Microsoft 安全公告 MS04-039 中介绍的 DNS 缓存漏洞:
Microsoft 安全公告 MS04-039

更多信息

Microsoft 安全公告 MS04-039 介绍了一个漏洞,恶意用户可以利用该漏洞欺骗受信任的 Internet 内容。在这种情况下,用户可能误以为他们正在访问受信任的 Internet 站点,而实际上他们访问的是为恶意目的而创建的站点。要试图利用此漏洞,攻击者首先必须诱使用户查看其恶意内容或单击指向恶意内容的链接。

要解决此问题,请安装 Microsoft 安全公告 MS04-039 中介绍的安全更新。
Microsoft 安全公告 MS04-039


要解决此问题,请使用下列方法之一:

对于以阵列形式安装的 Microsoft Internet Security and Acceleration Server 2000 企业版

警告:如果使用“ADSI 编辑”管理单元、LDP 实用工具或任何其他 LDAP 版本 3 客户端,并且不恰当地修改了 Active Directory 对象的属性,则可能造成严重问题。要解决这些问题,您可能需要重新安装 Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server 或 Microsoft Exchange Server 2003,或者 Windows 和 Exchange 二者都需要重新安装。Microsoft 不保证能够解决因为 Active Directory 对象属性修改不当而产生的问题。修改这些属性需要您自担风险。

要为企业阵列中的 ISA Server 2000 Service Pack 1 (SP1) 或 ISA Server 2000 Service Pack 2 (SP2) 解决此问题,请按照下列步骤操作:
  1. 启动 LDP 工具。为此,请单击“开始”,单击“运行”,键入 ldp.exe,然后单击“确定”。

    注意:Ldp.exe 包含在 Microsoft Windows 支持工具中。要在 Windows 2000 中安装 Windows 支持工具,请双击 Windows 2000 光盘上 Support\Tools 文件夹中的“Setup.exe”。要在 Windows Server 2003 中安装 Windows 支持工具,请双击 Windows Server 2003 光盘上 Support\Tools 文件夹中的“Supptools.msi”。
  2. 连接到 Active Directory 目录服务。为此,请按照下列步骤操作:
    1. 在“连接”菜单上,单击“连接”,将“服务器”框保留为空,然后单击“确定”。
    2. 在“连接”菜单上,单击“绑定”。
    3. 在“用户”框中,键入对 Active Directory 中的 ISA Server 对象具有写访问权的用户帐户的名称。这通常是域管理员帐户。
    4. 在“密码”框中,键入对 Active Directory 中的 ISA Server 对象具有写访问权的用户帐户所对应的密码。
    5. 在“域”框中,键入该 ISA Server 计算机所在的域,然后单击“确定”。
    6. 在右窗格中,验证是否出现以下消息:
      已身份验证为 dn:'UserName'。


      注意:如果未显示此消息,则说明您未通过身份验证。在 Active Directory 中成功通过身份验证后,您才能继续操作。
  3. 访问 Active Directory 树。为此,请按照下列步骤操作:
    1. 在“查看”菜单上,单击“树”,然后单击“确定”。
    2. 在左窗格中,展开“DC=example,DC=com”,其中 example.com 是您所在域的名称。
    3. 双击“CN=System,DC=example,DC=com”展开此对象。
    4. 双击“CN=Fpc,CN=System,DC=example,DC=com”展开此对象。
    5. 双击“CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com”展开此对象。
  4. 访问每个阵列策略对象。为此,请按照下列步骤操作:
    1. 在每个阵列对象下,双击“CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com”展开此对象。

      ArrayGUID 替换为“Arrays”对象下显示的 GUID。此 GUID 与以下内容类似:
      {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
    2. 双击“CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com”展开此对象。
  5. 修改防火墙服务的 DNS 缓存大小。为此,请按照下列步骤操作:
    1. 在“CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com”下,右键单击“CN=Proxy-WSP,CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com”,然后单击“修改”。
    2. 保留“Dn”框中的默认值,在“属性”框中键入 msFPCDnsCacheSize,然后在“值”框中键入 0(零)。
    3. 在“操作”下,单击“替换”,单击“输入”,然后单击“运行”。
    如果操作成功,右窗格中将显示与以下内容类似的信息:
    ***调用修改...
    	ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com',[1] attrs);
    	已修改
  6. 修改 Web Proxy 服务的 DNS 缓存大小。为此,请按照步骤 5 中的说明操作。但在该步骤中,应将 CN=Proxy-WSP 的所有实例均替换为 CN=WebProxy。
  7. 执行步骤 4 到步骤 6,以便为“CN=Arrays”对象下显示的每个“CN=ArrayGUID”对象分别修改防火墙服务的 DNS 缓存大小和 Web Proxy 服务的 DNS 缓存大小。
  8. 退出 LDP。
  9. 重新启动企业中的 ISA Server 服务。为此,请按照下列步骤操作:
    1. 启动“ISA 管理”工具。为此,请单击“开始”,指向“程序”,指向“Microsoft ISA Server”,然后单击“ISA 管理”。
    2. 依次展开“服务器和阵列”、您的阵列和“监视”,然后单击“服务”。
    3. 右键单击 ISA Server 的 Web Proxy 服务,然后单击“停止”。
    4. 成功停止该服务后,右键单击该同一服务,然后单击“启动”。
    5. 右键单击 ISA Server 的防火墙服务,然后单击“停止”。
    6. 成功停止该服务后,右键单击该同一服务,然后单击“启动”。
    7. 执行步骤 c 到步骤 f 以重新启动您阵列中所有 ISA 服务器的服务。
    8. 执行步骤 b 到步骤 g 以重新启动其他阵列中所有 ISA 服务器的服务。
  10. 退出“ISA 管理”Microsoft 管理控制台 (MMC) 管理单元。

对于独立模式中的 Microsoft Internet Security and Acceleration Server 2000 标准版或 ISA Server 2000 企业版

警告:注册表编辑器使用不当可能导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

要为运行 ISA Server 2000 标准版 (SP1) 或 ISA Server 2000 标准版 SP2 的计算机解决此问题,请按照下列步骤操作:
  1. 启动注册表编辑器。为此,请单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
  2. 找到并单击下面的注册表子项:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<ArrayGUID>\ArrayPolicy
    ArrayGUID 替换为 Arrays 注册表子项下显示的 GUID。此 GUID 与以下内容类似:
    {88F55145-3365-4D10-8DE5-FD433537CFC6}
  3. 将 Web Proxy 服务的 DNS 缓存大小的值更改为零。为此,请按照下列步骤操作:
    1. 在“ArrayPolicy”下,单击“WebProxy”。
    2. 在右窗格中,右键单击“msFPCDnsCacheSize”,然后单击“修改”。
    3. 在“数值数据”框中,键入 0(零),然后单击“确定”。
  4. 将防火墙服务的 DNS 缓存大小的值更改为零。为此,请按照下列步骤操作:
    1. 在“ArrayPolicy”下,单击“Proxy-WSP”。
    2. 在右窗格中,右键单击“msFPCDnsCacheSize”,然后单击“修改”。
    3. 在“数值数据”框中,键入 0(零),然后单击“确定”。
  5. 退出注册表编辑器。
  6. 启动“ISA 管理”工具。为此,请单击“开始”,指向“程序”,指向“Microsoft ISA Server”,然后单击“ISA 管理”。
  7. 依次展开“服务器和阵列”、您的服务器和“监视”,然后单击“服务”。
  8. 在“查看”菜单上,单击“高级”。
  9. 右击单击 Web Proxy 服务,然后单击“停止”。
  10. 成功停止该服务后,右键单击该同一服务,然后单击“启动”。
  11. 右键单击防火墙服务,然后单击“停止”。
  12. 成功停止该服务后,右键单击该同一服务,然后单击“启动”。

对于 Microsoft Proxy Server 2.0

警告:注册表编辑器使用不当可能导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

要为运行 Microsoft Proxy Server 2.0 Service Pack 1 (SP1) 的计算机解决此问题,请按照下列步骤操作:
  1. 启动注册表编辑器。为此,请单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
  2. 找到并单击下面的注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
  3. 将 Web Proxy 服务的 DNS 缓存大小的值更改为零。为此,请按照下列步骤操作:
    1. 在右窗格中,右键单击“DnsCacheSize”,然后单击“修改”。
    2. 在“数值数据”框中,键入 0(零),然后单击“确定”。
  4. 退出注册表编辑器。
  5. 启动代理管理工具。为此,请单击“开始”,指向“程序”,指向“Microsoft Proxy Server”,然后单击“Microsoft 管理控制台”。
  6. 展开运行 Proxy Server 2.0 SP1 的计算机的节点。
  7. 单击“Winsock Proxy”,然后单击“操作”菜单上的“停止”。
  8. 成功停止该服务后,单击“操作”菜单上的“启动”。
  9. 单击“Web Proxy”,然后单击“操作”菜单上的“停止”。
  10. 成功停止该服务后,单击“操作”菜单上的“启动”。
注意:自动执行本文中介绍的步骤的脚本已推出。该脚本是针对 ISA Server 2000 和 Proxy Server 2.0 设计的。Microsoft Internet Security and Acceleration (ISA) Server 2004 不受此漏洞影响,因此该脚本不适合在 ISA Server 2004 上运行。要获取该脚本,请访问下面的 Web 站点:
http://isatools.org/ms04-039.js


要清除 ISA Server 2000 Web 代理缓存,请使用 Clrcache.cmd 工具。要获取该工具,请访问下面的 Web 站点:
http://isatools.org/clrcache.cmd
Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。

有关如何清除 Proxy Server 2.0 中 Web 代理缓存的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
811086 如何清除 Microsoft Proxy Server 2.0 中的缓存


有关 Proxy Server 2.0 的产品支持生命周期的其他信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/isaserver/evaluation/previousversions/ending.mspx

属性

文章编号: 889189 - 最后修改: 2007年12月3日 - 修订: 3.1
这篇文章中的信息适用于:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 1
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Proxy Server 2.0 标准版
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
关键字:?
kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com