現在オフラインです。再接続するためにインターネットの接続を待っています

マイクロソフト セキュリティ情報 MS04-039 に記載されている ISA Server 2000 と Proxy Server 2.0 の DNS キャッシュのなりすましの脆弱性を回避する方法


重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、システムの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
概要
Microsoft Internet Security and Acceleration (ISA) Server 2000 および Microsoft Proxy Server 2.0 は、マイクロソフト セキュリティ情報 MS04-039 に記載されているセキュリティ上の脆弱性の影響を受けます。この脆弱性では、ISA Server 2000 Service Pack 1 (SP1)、ISA Server 2000 Service Pack 2 (SP2)、および Proxy Server 2.0 Service Pack 1 (SP1) の DNS キャッシュがなりすましに悪用されるおそれがあります。

この脆弱性については、マイクロソフト セキュリティ情報 MS04-039 で説明されています。また、マイクロソフト セキュリティ情報には、この問題に対処するセキュリティ更新プログラムのダウンロード リンクも掲載されています。この資料では、セキュリティ更新プログラムをインストールするまでこの問題からシステムを保護するうえで役立つ手順を示します。

はじめに
この資料では、次のマイクロソフト セキュリティ情報 MS04-039 に記載されている DNS キャッシュの脆弱性を回避する方法について説明します。
詳細
マイクロソフト セキュリティ情報 MS04-039 では、悪意を持ったユーザーが信頼できるインターネット コンテンツになりすますことを可能にする脆弱性について説明しています。この脆弱性が悪用された場合、ユーザーは信頼できるインターネット サイトにアクセスしていると確信しながら、悪意のある目的で作成されたサイトにアクセスしていることがあります。攻撃者がこの脆弱性を悪用するには、まず、ユーザーが信頼できるコンテンツと確信して悪質なコンテンツにアクセスするように仕向けるか、悪質なコンテンツへのリンクをクリックするように仕向ける必要があります。

この問題を解決するには、次のマイクロソフト セキュリティ情報 MS04-039 に記載されているセキュリティ更新プログラムをインストールします。

この問題を回避するには、次のいずれかの方法を使用します。

アレイにインストールされている Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition の場合

警告 : ADSI Edit スナップイン、LDP ユーティリティ、またはその他の LDAP 3 クライアントを使用して、Active Directory オブジェクトの属性に不適切な変更を加えると、深刻な問題が発生することがあります。最悪の場合、Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server、Microsoft Exchange Server 2003 のいずれか、または Windows と Exchange の両方の再インストールが必要になることがあります。マイクロソフトは、Active Directory オブジェクトの属性の誤った変更により発生した問題に関して、一切責任を負わないものとします。これらの属性の変更は、自己の責任において行ってください。

エンタープライズ アレイの ISA Server 2000 Service Pack 1 (SP1) または ISA Server 2000 Service Pack 2 (SP2) でこの問題を回避するには、以下の手順を実行します。
  1. LDP ツールを起動します。このツールを起動するには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。ldp.exe と入力し、[OK] をクリックします。

    : Ldp.exe は、Microsoft Windows Support Tools に含まれています。Windows 2000 で Windows Support Tools をインストールするには、Windows 2000 CD の Support\Tools フォルダにある Setup.exe ファイルをダブルクリックします。Windows Server 2003 で Windows Support Tools をインストールするには、Windows Server 2003 CD の Support\Tools フォルダにある Supptools.msi ファイルをダブルクリックします。
  2. 以下の手順で、Active Directory ディレクトリ サービスに接続します。
    1. [Connection] メニューの [Connect] をクリックし、[Server] ボックスは空白のままで [OK] をクリックします。
    2. [Connection] メニューの [Bind] をクリックします。
    3. [User] ボックスに、Active Directory の ISA Server オブジェクトへの書き込みアクセス許可を持つユーザー アカウントの名前を入力します。通常はドメイン管理者のアカウントを使用します。
    4. [Password] ボックスに、Active Directory の ISA Server オブジェクトへの書き込みアクセス許可を持つユーザー アカウントのパスワードを入力します。
    5. [Domain] ボックスに、ISA Server コンピュータが参加しているドメインの名前を入力し、[OK] をクリックします。
    6. 右側のウィンドウに次のメッセージが表示されることを確認します。
      Authenticated as dn:'UserName'.


      : このメッセージが表示されない場合は認証されていません。Active Directory に正常に認証されるまで、作業を続けることはできません。
  3. 以下の手順で、Active Directory ツリーにアクセスします。
    1. [View] メニューの [Tree] をクリックし、[Tree View] ダイアログ ボックスの [OK] をクリックします。
    2. 左側のウィンドウで、[DC=example,DC=com] を展開します。example.com は、実際のドメインの名前に読み替えてください。
    3. [CN=System,DC=example,DC=com] をダブルクリックして、このオブジェクトを展開します。
    4. [CN=Fpc,CN=System,DC=example,DC=com] をダブルクリックして、このオブジェクトを展開します。
    5. [CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com] をダブルクリックして、このオブジェクトを展開します。
  4. 以下の手順で、それぞれのアレイ ポリシー オブジェクトにアクセスします。
    1. それぞれのアレイ オブジェクトの下で、[CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com] をダブルクリックして、このオブジェクトを展開します。

      ArrayGUID は、[Arrays] の下に表示される GUID に読み替えてください。次の GUID に似た GUID が表示されます。
      {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
    2. [CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com] をダブルクリックして、このオブジェクトを展開します。
  5. Firewall サービスの DNS キャッシュ サイズを変更します。これを行うには、以下の手順を実行します。
    1. [CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com] の下の [CN=Proxy-WSP,CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com] を右クリックし、[Modify] をクリックします。
    2. [Dn] ボックスはデフォルト値のままにします。[Attribute] ボックスに msFPCDnsCacheSize と入力し、[Values] ボックスに 0 (ゼロ) と入力します。
    3. [Operation] の下の [Replace] をクリックし、[Enter] をクリックした後、[Run] をクリックします。
    操作が成功すると、右側のウィンドウに次のような情報が表示されます。
    ***Call Modify...	ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com',[1] attrs);	Modified 
  6. Web proxy サービスの DNS キャッシュ サイズを変更します。これを行うには、CN=Proxy-WSP の部分をすべて CN=WebProxy に読み替えて、手順 5. を実行します。
  7. 手順 4. ~ 6. を繰り返して、[CN=Arrays] の下に表示されるすべての CN=ArrayGUID オブジェクトで Firewall サービスの DNS キャッシュ サイズと Web proxy サービスの DNS キャッシュ サイズを変更します。
  8. LDP を終了します。
  9. 以下の手順で、エンタープライズの ISA Server サービスを再開します。
    1. ISA の管理 MMC (Microsoft Management Console) スナップインを起動します。このスナップインを起動するには、[スタート] ボタンをクリックし、[プログラム]、[Microsoft ISA Server] の順にポイントし、[ISA の管理] をクリックします。
    2. [サーバーとアレイ] を展開し、使用中のアレイを展開します。次に、[監視] を展開し、[サービス] をクリックします。
    3. ISA Server の Web proxy サービスを右クリックし、[停止] をクリックします。
    4. サービスが正常に停止したら、同じサービスを右クリックし、[開始] をクリックします。
    5. ISA Server の Firewall サービスを右クリックし、[停止] をクリックします。
    6. サービスが正常に停止したら、同じサービスを右クリックし、[開始] をクリックします。
    7. 手順 c. ~ f. を繰り返して、現在のアレイ内のすべての ISA サーバーのサービスを再開します。
    8. 手順 b. ~ g. を繰り返して、他のアレイ内のすべての ISA サーバーのサービスを再開します。
  10. ISA の管理 MMC スナップインを終了します。

スタンドアロン モードの Microsoft Internet Security and Acceleration (ISA) Server 2000 Standard Edition または ISA Server 2000 Enterprise Edition の場合

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

ISA Server 2000 Standard Edition Service Pack 1 (SP1) または ISA Server 2000 Standard Edition SP2 を実行しているコンピュータでこの問題を回避するには、以下の手順を実行します。
  1. レジストリ エディタを起動します。レジストリ エディタを起動するには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、regedit と入力し、[OK] をクリックします。
  2. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<ArrayGUID>\ArrayPolicy
    ArrayGUID は、Arrays レジストリ サブキーの下に表示される GUID に読み替えてください。次の GUID に似た GUID が表示されます。
    {88F55145-3365-4D10-8DE5-FD433537CFC6}
  3. 次の手順で、Web proxy サービスの DNS キャッシュ サイズを 0 に変更します。
    1. [ArrayPolicy] の下の [WebProxy] をクリックします。
    2. 右側のウィンドウで [msFPCDnsCacheSize] を右クリックし、[変更] をクリックします。
    3. [値のデータ] ボックスに 0 (ゼロ) と入力し、[OK] をクリックします。
  4. 次の手順で、Firewall サービスの DNS キャッシュ サイズを 0 に変更します。
    1. [ArrayPolicy] の下の [Proxy-WSP] をクリックします。
    2. 右側のウィンドウで [msFPCDnsCacheSize] を右クリックし、[変更] をクリックします。
    3. [値のデータ] ボックスに 0 (ゼロ) と入力し、[OK] をクリックします。
  5. レジストリ エディタを終了します。
  6. ISA の管理 MMC (Microsoft Management Console) スナップインを起動します。このスナップインを起動するには、[スタート] ボタンをクリックし、[プログラム]、[Microsoft ISA Server] の順にポイントし、[ISA の管理] をクリックします。
  7. [サーバーとアレイ] を展開し、使用中のサーバーを展開します。次に、[監視] を展開し、[サービス] をクリックします。
  8. [表示] メニューの 2 番目の [詳細] をクリックしてチェック マークを付けます。
  9. Web proxy サービスを右クリックし、[停止] をクリックします。
  10. サービスが正常に停止したら、同じサービスを右クリックし、[開始] をクリックします。
  11. Firewall サービスを右クリックし、[停止] をクリックします。
  12. サービスが正常に停止したら、同じサービスを右クリックし、[開始] をクリックします。

Microsoft Proxy Server 2.0 の場合

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

Microsoft Proxy Server 2.0 Service Pack 1 (SP1) を実行するコンピュータでこの問題を回避するには、以下の手順を実行します。
  1. レジストリ エディタを起動します。レジストリ エディタを起動するには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、regedit と入力し、[OK] をクリックします。
  2. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
  3. 次の手順で、Web proxy サービスの DNS キャッシュ サイズを 0 に変更します。
    1. 右側のウィンドウで [DnsCacheSize] を右クリックし、[変更] をクリックします。
    2. [値のデータ] ボックスに 0 (ゼロ) と入力し、[OK] をクリックします。
  4. レジストリ エディタを終了します。
  5. プロキシの管理ツール (インターネット インフォメーション サービス MMC スナップイン) を起動します。このツールを起動するには、[スタート] ボタンをクリックし、[プログラム]、[Microsoft Proxy Server] の順にポイントし、[Microsoft Management Console] をクリックします。
  6. Proxy Server 2.0 SP1 を実行しているコンピュータのノードを展開します。
  7. [Winsock Proxy] をクリックし、[操作] メニューの [停止] をクリックします。
  8. サービスが正常に停止したら、[操作] メニューの [開始] をクリックします。
  9. [Web Proxy] をクリックし、[操作] メニューの [停止] をクリックします。
  10. サービスが正常に停止したら、[操作] メニューの [開始] をクリックします。
: この資料に記載されている手順を自動的に実行するスクリプトを利用できます。このスクリプトは、ISA Server 2000 および Proxy Server 2.0 で動作するように設計されています。Microsoft Internet Security and Acceleration (ISA) Server 2004 はこの資料に記載されている脆弱性の影響を受けないため、このスクリプトは ISA Server 2004 で実行するようには設計されていません。このスクリプトを入手するには、以下の Web サイトにアクセスします。

ISA Server 2000 Web proxy のキャッシュをクリアするには、Clrcache.cmd ツールを使用します。このツールを入手するには、次の Web サイトにアクセスします。他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載している情報に対して、いかなる責任も負わないものとします。

Proxy Server 2.0 で Web proxy キャッシュをクリアする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
811086 Microsoft Proxy Server 2.0 でキャッシュをクリアする方法


Proxy Server 2.0 の製品サポート ライフ サイクルの詳細については、次のマイクロソフト Web サイトを参照してください。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 889189 (最終更新日 2004-11-09) を基に作成したものです。
Firewall, security, vulnerability, hole, poison, cache,
プロパティ

文書番号:889189 - 最終更新日: 12/03/2007 07:16:00 - リビジョン: 3.1

  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 1
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Proxy Server 2.0 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
  • kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189
フィードバック