Microsoftin tietoturvatiedotteessa MS04-039 kuvatun ISA Server 2000:n ja Proxy Server 2.0:n DNS-välimuistin tekeytymishyökkäyksen mahdollistavan heikkouden kiertäminen

Tämä artikkeli on arkistoitu. Se tarjotaan "sellaisenaan", eikä sitä päivitetä enää.

Tärkeää Tässä artikkelissa käsitellään rekisterin muokkaamista. Muista varmuuskopioida rekisteri ennen sen muokkaamista. Varmista myös, että osaat palauttaa rekisterin ongelmatilanteessa. Lisätietoja rekisterin varmuuskopioimisesta, palauttamisesta ja muokkaamisesta saat napsauttamalla alla olevaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
256986 Microsoft Windowsin rekisterin kuvaus
Yhteenveto
Microsoft Internet Security and Acceleration (ISA) Server 2000 ja Microsoft Proxy Server 2.0 ovat alttiina tietoturvaheikkoudelle, joka on kuvattu Microsoftin tietoturvatiedotteessa MS04-039. Tässä tilanteessa ISA Server 2000 Service Pack 1:n (SP1), ISA Server 2000 Service Pack 2:n (SP2) tai Proxy Server 2.0 Service Pack 1:n (SP1) DNS-välimuistissa saattaa olla tiedostoja, jotka ovat tekeytyneet muiden tiedostojen kaltaisiksi.

Tämä heikkous on kuvattu Microsoftin tietoturvatiedotteessa MS04-039. Lisäksi kyseinen Microsoftin tietoturvatiedote sisältää lataamislinkit tietoturvapäivityksiin, joilla tämä ongelma voidaan korjata. Tämä artikkeli sisältää ohjeet, joiden mukaan toimimalla voit suojata järjestelmät tätä ongelmaa vastaan, kunnes voit asentaa tämän tietoturvapäivityksen.

ESITTELY
Tässä artikkelissa kuvataan, miten seuraavassa Microsoftin tietoturvatiedotteessa MS04-039 kuvattu DNS-välimuistiheikkous voidaan kiertää:
Enemmän tietoa
Microsoftin tietoturvatiedotteessa MS04-039 kuvataan heikkous, jota hyödyntämällä pahantahtoinen käyttäjä saattaa pystyä luomaan luotettavaksi Internet-sisällöksi tekeytyviä tiedostoja. Tässä tilanteessa käyttäjät saatetaan saada uskomaan, että he vierailevat luotettavassa Internet-sivustossa, mutta todellisuudessa he vierailevat sivustossa, joka on suunniteltu pahantahtoisia tarkoituksia varten. Tämän heikkouden hyödyntämistä yrittävän hyökkääjän on ensin saatava käyttäjä tarkastelemaan haitalliseksi suunnittelemaansa sisältöä tai napsauttamaan siihen johtavaa linkkiä.

Voit korjata tämän ongelman asentamalla Microsoftin tietoturvatiedotteessa MS04-039 kuvatun tietoturvapäivityksen.

Voit kiertää ongelman jommallakummalla seuraavista tavoista.

Matriisiin asennettu Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition

Varoitus Jos käytät ADSI Edit -laajennusta, LDP-apuohjelmaa tai jotain muuta LDAP 3 -asiakasta ja muokkaat Active Directory -objektien määrityksiä virheellisesti, saatat aiheuttaa vakavia ongelmia. Näiden ongelmien korjaaminen saattaa edellyttää Microsoft Windows 2000 Serverin, Microsoft Windows Server 2003:n, Microsoft Exchange 2000 Serverin, Microsoft Exchange Server 2003:n tai sekä Windowsin ja Exchangen asentamisen uudelleen. Microsoft ei takaa, että virheellisestä Active Directory -objektin määritteiden muokkaamisesta aiheutuvat ongelmat voidaan ratkaista. Muokkaat näitä määritteitä omalla vastuulla.

Voit kiertää tämän ongelman yrityksen matriisiin asennetussa ISA Server 2000 Service Pack 1:ssä (SP1) tai ISA Server 2000 Service Pack 2:ssa (SP2) seuraavasti:
 1. Käynnistä LDP-työkalu. Voit tehdä tämän napsauttamalla Käynnistä-painiketta, valitsemalla Suorita, kirjoittamalla ldp.exe ja valitsemalla sitten OK.

  Huomautus Ldp.exe sisältyy Microsoft Windowsin tukityökaluihin. Voit asentaa Windows 2000 -käyttöjärjestelmän tukityökalut kaksoisnapsauttamalla Windows 2000:n CD-levyn Support\Tools-kansion Setup.exe-tiedostoa. Voit asentaa Windows Server 2003 -käyttöjärjestelmän tukityökalut kaksoisnapsauttamalla Windows Server 2003:n CD-levyn Support\Tools-kansion Supptools.msi-tiedostoa.
 2. Muodosta yhteys Active Directory -hakemistopalveluun. Voit tehdä tämän seuraavasti:
  1. Valitse Yhteys-valikosta Yhdistä, jätä Palvelin-ruutu tyhjäksi ja valitse OK.
  2. Valitse Yhteys-valikosta Sidonta.
  3. Kirjoita Käyttäjä-ruutuun sellaisen käyttäjätilin nimi, jolla on Active Directoryn ISA Server -objektien kirjoitusoikeudet. Yleensä tällainen tili on toimialueen järjestelmänvalvojan tili.
  4. Kirjoita Salasana-ruutuun sen käyttäjätilin salasana, jolla on Active Directoryn ISA Server -objektien kirjoitusoikeudet.
  5. Kirjoita Toimialue-ruutuun ISA Server -tietokoneen sisältävä toimialue ja valitse sitten OK:
  6. Varmista, että oikeanpuoleiseen ruutuun tulee seuraava sanoma:
   Authenticated as dn:'Käyttäjänimi'.


   Huomautus Jos tämä sanoma ei tule näyttöön, käyttöoikeuksiasi ei ole vahvistettu. Et voi jatkaa, ennen kuin käyttöoikeutesi Active Directoryyn on vahvistettu onnistuneesti.
 3. Avaa Active Directory -puu. Voit tehdä tämän seuraavasti:
  1. Valitse Näytä-valikosta Puu ja valitse sitten OK.
  2. Laajenna vasemmanpuoleisessa ruudussa DC=example,DC=com, jossa example.com on toimialueesi nimi.
  3. Kaksoisnapsauta CN=System,DC=example,DC=com, niin objekti laajennetaan.
  4. Kaksoisnapsauta CN=Fpc,CN=System,DC=example,DC=com, niin objekti laajennetaan.
  5. Kaksoisnapsauta CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com, niin objekti laajennetaan.
 4. Avaa jokainen matriisikäytäntöobjekti. Voit tehdä tämän seuraavasti:
  1. Kaksoisnapsauta jokaisen matriisiobjektin CN=Matriisi-GUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com, niin objekti laajennetaan.

   Korvaa Matriisi-GUID GUID-tunnuksella, joka näkyy Arrays-objektin alla. Tämä GUID-tunnus näyttää seuraavankaltaiselta:
   {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
  2. Kaksoisnapsauta CN=ArrayPolicy,CN=Matriisi-GUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com, niin objekti laajennetaan.
 5. Muokkaa palomuuripalvelun DNS-välimuistin kokoa. Voit tehdä tämän seuraavasti:
  1. Napsauta CN=ArrayPolicy,CN=Matriisi-GUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com-kohdassa hiiren kakkospainikkeella CN=Proxy-WSP,CN=ArrayPolicy,CN=Matriisi-GUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com-kohtaa ja valitse sitten Muokkaa.
  2. Jätä oletusarvo Dn-ruutuun, kirjoita Määrite-ruutuun msFPCDnsCacheSize ja kirjoita sitten Arvot-ruutuun 0 (nolla).
  3. Valitse Toiminto, valitse Korvaa, valitse Syötä ja valitse sitten Suorita.
  Jos toimen suorittaminen onnistuu, seuraavankaltaiset tiedot tulevat oikeanpuoleiseen ruutuun:
  ***Call Modify... ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com',[1] attrs); Modified 
 6. Muokkaa Web-välityspalvelun DNS-välimuistin kokoa. Voit tehdä tämän noudattamalla vaiheen 5 ohjeita. Korvaa kuitenkin kaikki tämän vaiheen "CN=Proxy-WSP"-esiintymät tekstillä "CN=WebProxy".
 7. Muokkaa palomuuripalvelun ja Web-välityspalvelun välimuistien kokoa suorittamalla vaiheet 4 - 6 jokaiselle CN=Matriisi-GUID-objektille, joka näkyy CN=Arrays-objektin alla.
 8. Sulje LDP.
 9. Käynnistä yrityksen ISA Server -palvelut uudelleen. Voit tehdä tämän seuraavasti:
  1. Käynnistä ISA-hallintatyökalu. Voit tehdä tämän napsauttamalla Käynnistä-painiketta, valitsemalla Ohjelmat, valitsemalla Microsoft ISA Server ja valitsemalla sitten ISA Management.
  2. Laajenna Servers and Arrays, laajenna matriisisi, laajenna Monitoring ja valitse sitten Services.
  3. Napsauta ISA-palvelimen Web-välityspalvelua (Web Proxy) ja valitse sitten Stop.
  4. Kun palvelu on pysäytetty onnistuneesti, napsauta samaa palvelua hiiren kakkospainikkeella ja valitse sitten Start.
  5. Napsauta ISA-palvelimen palomuuripalvelua (Firewall) ja valitse sitten Stop.
  6. Kun palvelu on pysäytetty onnistuneesti, napsauta samaa palvelua hiiren kakkospainikkeella ja valitse sitten Start.
  7. Käynnistä kaikkien matriisin ISA-palvelinten palvelut uudelleen tekemällä vaiheet c - f.
  8. Käynnistä kaikkien muiden matriisien ISA-palvelinten palvelut uudelleen tekemällä vaiheet b - g.
 10. Sulje MMC:n (Microsoft Management Console) ISA Management -laajennus.

Microsoft Internet Security and Acceleration Server 2000 Standard Edition tai ISA Server 2000 Enterprise Edition erillistilassa

Varoitus Rekisterieditorin virheellinen käyttö saattaa aiheuttaa vakavia ongelmia, joiden vuoksi käyttöjärjestelmä on ehkä asennettava uudelleen. Microsoft ei takaa, että virheellisestä Rekisterieditorin käyttämisestä johtuvat ongelmat voidaan ratkaista. Käytät Rekisterieditoria omalla vastuullasi.

Voit kiertää tämän ongelman ISA Server 2000 Standard Edition (SP1)- tai ISA Server 2000 Standard Edition SP2 -tietokoneessa seuraavasti:
 1. Käynnistä Rekisterieditori. Voit tehdä tämän napsauttamalla Käynnistä-painiketta, valitsemalla Suorita, kirjoittamalla regedit ja valitsemalla sitten OK.
 2. Etsi seuraava rekisterin aliavain ja napsauta sitä:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<Matriisi-GUID>\ArrayPolicy
  Korvaa Matriisi-GUID GUID-tunnuksella, joka näkyy rekisterin Arrays-aliavaimen objektin alla. Tämä GUID-tunnus näyttää seuraavankaltaiselta:
  {88F55145-3365-4D10-8DE5-FD433537CFC6}
 3. Muuta Web-välityspalvelun DNS-välimuistin kooksi 0 (nolla). Voit tehdä tämän seuraavasti:
  1. Valitse ArrayPolicy-kohdassa WebProxy.
  2. Napsauta oikeanpuoleisessa ruudussa hiiren kakkospainikkeella msFPCDnsCacheSize-kohtaa ja valitse sitten Muokkaa.
  3. Kirjoita Arvon data -ruutuun 0 (nolla) ja valitse sitten OK.
 4. Muuta palomuuripalvelun DNS-välimuistin kooksi 0 (nolla). Voit tehdä tämän seuraavasti:
  1. Valitse ArrayPolicy-kohdassa Proxy-WSP.
  2. Napsauta oikeanpuoleisessa ruudussa hiiren kakkospainikkeella msFPCDnsCacheSize-kohtaa ja valitse sitten Muokkaa.
  3. Kirjoita Arvon data -ruutuun 0 (nolla) ja valitse sitten OK.
 5. Sulje Rekisterieditori.
 6. Käynnistä ISA-hallintatyökalu. Voit tehdä tämän napsauttamalla Käynnistä-painiketta, valitsemalla Ohjelmat, valitsemalla Microsoft ISA Server ja valitsemalla sitten ISA Management.
 7. Laajenna Servers and Arrays, laajenna palvelimesi, laajenna Monitoring ja valitse sitten Services.
 8. Valitse Näytä-valikosta Lisäasetukset.
 9. Napsauta Web-välityspalvelua hiiren kakkospainikkeella ja valitse sitten Stop.
 10. Kun palvelu on pysäytetty onnistuneesti, napsauta samaa palvelua hiiren kakkospainikkeella ja valitse sitten Start.
 11. Napsauta palomuuripalvelua hiiren kakkospainikkeella ja valitse sitten Stop.
 12. Kun palvelu on pysäytetty onnistuneesti, napsauta samaa palvelua hiiren kakkospainikkeella ja valitse sitten Start.

Microsoft Proxy Server 2.0

Varoitus Rekisterieditorin virheellinen käyttö saattaa aiheuttaa vakavia ongelmia, joiden vuoksi käyttöjärjestelmä on ehkä asennettava uudelleen. Microsoft ei takaa, että virheellisestä Rekisterieditorin käyttämisestä johtuvat ongelmat voidaan ratkaista. Käytät Rekisterieditoria omalla vastuullasi.

Voit kiertää tämän ongelman Microsoft Proxy Server 2.0 Service Pack 1 (SP1) -tietokoneessa seuraavasti:
 1. Käynnistä Rekisterieditori. Voit tehdä tämän napsauttamalla Käynnistä-painiketta, valitsemalla Suorita, kirjoittamalla regedit ja valitsemalla sitten OK.
 2. Etsi seuraava rekisterin aliavain ja napsauta sitä:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
 3. Muuta Web-välityspalvelun DNS-välimuistin kooksi 0 (nolla). Voit tehdä tämän seuraavasti:
  1. Napsauta oikeanpuoleisessa ruudussa hiiren kakkospainikkeella DnsCacheSize-kohtaa ja valitse sitten Muokkaa.
  2. Kirjoita Arvon data -ruutuun 0 (nolla) ja valitse sitten OK.
 4. Sulje Rekisterieditori.
 5. Käynnistä välityspalvelun hallintatyökalu. Voit tehdä tämän napsauttamalla Käynnistä-painiketta, valitsemalla Ohjelmat, valitsemalla Microsoft Proxy Server ja valitsemalla sitten Microsoft Management Console.
 6. Laajenna sen tietokoneen solmu, jossa on käytössä Proxy Server 2.0 SP1.
 7. Valitse Winsock proxy ja valitse sitten Action-valikosta Stop.
 8. Kun palvelu on pysäytetty onnistuneesti, valitse Action-valikosta Start.
 9. Valitse Web Proxy ja valitse sitten Action-valikosta Stop.
 10. Kun palvelu on pysäytetty onnistuneesti, valitse Action-valikosta Start.
Huomautus Tässä artikkelissa kuvatut toimet voidaan suorittaa automaattisesti komentosarjan avulla. Tämä komentosarja on suunniteltu toimimaan ISA Server 2000:n ja Proxy Server 2.0:n kanssa. Tämä heikkous ei koske Microsoft Internet Security and Acceleration (ISA) Server 2004 -palvelinta, eikä tätä komentosarjaa ole suunniteltu toimivaksi ISA Server 2004 -palvelimessa. Voit hankkia tämän komentosarjan seuraavasta Web-sivustosta:

Voit tyhjentää ISA Server 2000:n Web-välityspalvelimen välimuistin Clrcache.cmd-työkalulla. Voit hankkia tämän työkalun seuraavasta Web-sivustosta: Microsoft antaa kolmannen osapuolen yhteystiedot, jotta asiakas voi hankkia teknistä tukea. Nämä yhteystiedot voivat muuttua ilman ennakkoilmoitusta. Microsoft ei takaa kolmannen osapuolen yhteystietojen paikkansapitävyyttä.

Saat lisätietoja Proxy Server 2.0:n Web-välityspalvelimen välimuistin tyhjentämisestä napsauttamalla alla olevaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
811086 Microsoft Proxy Server 2.0:n välimuistin tyhjentäminen


Lisätietoja Proxy Server 2.0:n tuotetuen elinkaarista on seuraavassa Microsoftin Web-sivustossa:
palomuuri, tietoturva, heikkous, tietoturva-aukko, saastuminen, välimuisti
Ominaisuudet

Artikkelin tunnus: 889189 – Viimeisin tarkistus: 12/09/2015 01:53:16 – Versio: 3.1

Microsoft Internet Security and Acceleration Server 2000 Service Pack 1, Microsoft Small Business Server 2000 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Proxy Server 2.0 Standard Edition, Microsoft Internet Security and Acceleration Server 2000 Service Pack 2

 • kbnosurvey kbarchive kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189
Palaute