Slik omgår du sikkerhetsproblemet med forfalskning av DNS-bufferen i ISA Server 2000 og Proxy Server 2.0 som er beskrevet i Microsofts sikkerhetsbulletin MS04-039

Denne artikkelen er arkivert. Den tilbys "som den er" og vil ikke bli oppdatert.

Viktig!  Denne artikkelen inneholder informasjon om hvordan du endrer registret. Før du endrer registret, må du sikkerhetskopiere det og være sikker på at du forstår hvordan du gjenoppretter registret hvis det oppstår et problem. Hvis du vil ha informasjon om hvordan du sikkerhetskopierer, gjenoppretter og redigerer registret, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
256986 Beskrivelse av Microsoft Windows-registret
Sammendrag
Microsoft Internet Security and Acceleration (ISA) Server 2000 og Microsoft Proxy Server 2.0 er berørt av sikkerhetsproblemet som beskrives i Microsofts sikkerhetsbulletin MS04-039. I dette scenariet kan innholdet i DNS-bufferen i ISA Server 2000 Service Pack 1 (SP1), ISA Server 2000 Service Pack 2 (SP2) eller Proxy Server 2.0 Service Pack 1 (SP1) forfalskes.

Dette sikkerhetsproblemet er beskrevet i Microsofts sikkerhetsbulletin MS04-039. I tillegg inneholder Microsofts sikkerhetsbulletin nedlastingskoblinger til sikkerhetsoppdateringene som løser dette problemet. Artikkelen inneholder instruksjoner som du kan bruke for å beskytte systemene dine mot problemet inntil du kan installere sikkerhetsoppdateringen.

INNLEDNING
Artikkelen beskriver hvordan du omgår sikkerhetsproblemet med DNS-bufferen som er beskrevet i Microsofts sikkerhetsbulletin MS04-039:
Mer informasjon
Microsofts sikkerhetsbulletin MS04-039 beskriver et sikkerhetsproblem som kan la en bruker med onde hensikter forfalske klarert Internett-innhold. I dette scenariet kan brukere bli forledet til å tro at de besøker et klarert Internett-område, når de i stedet besøker et område som er opprettet med onde hensikter. En angriper som vil forsøke å utnytte dette problemet, må først overbevise en bruker om å vise det skadelige innholdet eller klikke en kobling til det.

Du kan løse dette problemet ved å installere sikkerhetsoppdateringen som er beskrevet i Microsofts sikkerhetsbulletin MS04-039.

Bruk en av følgende metoder til å omgå dette problemet.

For Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition som er installert i en klynge

Advarsel!  Hvis du bruker snapin-modulen ADSI Edit, LDP-verktøyet eller noen annen klient for LDAP versjon 3, og du gjør feil endringer i attributtene til Active Directory-objekter, kan du forårsake alvorlige problemer. Disse problemene kan føre til at du må reinstallere Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 eller både Windows og Exchange. Microsoft kan ikke garantere at problemer som oppstår hvis du gjør feil endringer i objektattributter i Active Directory, kan løses. Endre disse attributtene på eget ansvar.

Følg disse trinnene for å omgå dette problemet for ISA Server 2000 Service Pack 1 (SP1) eller ISA Server 2000 Service Pack 2 (SP2) i en organisasjonsklynge:
 1. Start LDP-verktøyet. Klikk Start, klikk Run, skriv inn ldp.exe, og klikk deretter OK.

  Obs!  Ldp.exe følger med Microsoft Windows-støtteverktøy. Dobbeltklikk Setup.exe i Support\Tools-mappen på Windows 2000-CD-ROMen for å installere Windows-støtteverktøy i Windows 2000. Dobbeltklikk Supptools.msi i Support\Tools-mappen på Windows 2003-CD-ROMen for å installere Windows-støtteverktøy i Windows 2003.
 2. Koble til katalogtjenesten Active Directory. Gjør dette ved å bruke følgende fremgangsmåte:
  1. Klikk ConnectConnection-menyen, la Server-boksen være tom og klikk deretter OK.
  2. Klikk BindConnection-menyen.
  3. I User-boksen skriver du inn navnet på en brukerkonto som har skrivetilgang til ISA Server-objekter i Active Directory. Dette er vanligvis en domeneadministratorkonto.
  4. I Password-boksen skriver du inn passordet som samsvarer med brukerkontoen som har skrivetilgang til ISA Server-objekter i Active Directory.
  5. I Domain-boksen skriver du inn domenet der denne ISA Server-datamaskinen finnes, og deretter klikker du OK.
  6. Kontroller at følgende melding vises i ruten til høyre:
   Authenticated as dn:'Brukernavn'.


   Obs!  Hvis denne meldingen ikke vises, er du ikke godkjent. Du kan ikke fortsette før du er godkjent i Active Directory.
 3. Gå til Active Directory-treet. Gjør dette ved å bruke følgende fremgangsmåte:
  1. Klikk TreeView-menyen, og klikk deretter OK.
  2. I den venstre ruten utvider du DC=example,DC=com, der example.com er navnet på domenet.
  3. Dobbeltklikk CN=System,DC=example,DC=com for å utvide dette objektet.
  4. Dobbeltklikk CN=Fpc,CN=System,DC=example,DC=com for å utvide dette objektet.
  5. Dobbeltklikk CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com for å utvide dette objektet.
 4. Gå til hvert klyngepolicyobjekt. Gjør dette ved å bruke følgende fremgangsmåte:
  1. Under hvert klyngeobjekt dobbeltklikker du CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com for å utvide dette objektet.

   Erstatt ArrayGUID med en GUID som vises under Arrays-objektet. Denne GUIDen ligner den følgende:
   {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
  2. Dobbeltklikk CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com for å utvide dette objektet.
 5. Endre DNS-bufferstørrelsen for Firewall-tjenesten. Gjør dette ved å bruke følgende fremgangsmåte:
  1. Under CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com høyreklikker du CN=Proxy-WSP,CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com, og deretter klikker du Modify.
  2. Behold standardverdien i Dn-boksen, skriv inn msFPCDnsCacheSize i Attribute-boksen, og skriv deretter inn 0 (null) i Values-boksen.
  3. Under Operation klikker du Replace, deretter klikker du Enter og Run.
  Hvis operasjonen lyktes, vises informasjon som ligner den følgende, i ruten til høyre:
  ***Call Modify... ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com',[1] attrs); Modified 
 6. Endre DNS-bufferstørrelsen for Web Proxy-tjenesten. Gjøre dette ved å følge fremgangsmåten i trinn fem. I dette trinnet erstatter du imidlertid alle forekomstene av CN=Proxy-WSP med CN=WebProxy.
 7. Følg trinn fire til seks for å endre DNS-bufferstørrelsen for Firewall-tjenesten og DNS-bufferstørrelsen for Web Proxy-tjenesten for hvert av CN=ArrayGUID-objektene som vises under CN=Arrays-objektet.
 8. Avslutt LDP.
 9. Start ISA Server-tjenestene i organisasjonen på nytt. Gjør dette ved å bruke følgende fremgangsmåte:
  1. Start ISA Management-verktøyet. Gjør dette ved å klikke Start, peke på Programs, Microsoft ISA Server og deretter klikke ISA Management.
  2. Utvid Servers and Arrays, utvid klyngen det gjelder, utvid Monitoring og klikk deretter Services.
  3. Høyreklikk WebProxy-tjenesten for ISA Server, og klikk deretter Stop.
  4. Når tjenesten er korrekt stoppet, høyreklikker du den og klikker Start.
  5. Høyreklikk Firewall-tjenesten for ISA Server, og klikk deretter Stop.
  6. Når tjenesten er korrekt stoppet, høyreklikker du den og klikker Start.
  7. Følg trinn c til f for å starte tjenestene for alle ISA-serverne i klyngen på nytt.
  8. Følg trinn b til g for å starte tjenestene for alle ISA-serverne i andre klynger på nytt.
 10. Avslutt MMC-snapin-modulen for ISA Management (MMC = Microsoft Management Console).

For Microsoft Internet Security and Acceleration Server 2000 Standard Edition eller ISA Server 2000 Enterprise Edition i frittstående modus

Advarsel!  Hvis du bruker Registerredigering på feil måte, kan dette skape alvorlige problemer som gjør at du må installere operativsystemet på nytt. Microsoft kan ikke garantere at du kan løse problemer som er et resultat av feil bruk av Registerredigering. Bruk Registerredigering på eget ansvar.

Følg disse trinnene for å omgå dette problemet på en datamaskin som kjører ISA Server 2000 Standard Edition (SP1) eller ISA Server 2000 Standard Edition SP2:
 1. Start Registerredigering. Gjør dette ved å klikke Start, klikke Run, skrive inn regedit, og deretter klikke OK.
 2. Finn og klikk følgende undernøkkel i registret:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<ArrayGUID>\ArrayPolicy
  Erstatt ArrayGUID med GUIDen som vises under undernøkkelen Arrays i registret. Denne GUIDen ligner den følgende:
  {88F55145-3365-4D10-8DE5-FD433537CFC6}
 3. Endre verdien for DNS-bufferstørrelsen for Web Proxy-tjenesten til null. Gjør dette ved å bruke følgende fremgangsmåte:
  1. Under ArrayPolicy klikker du WebProxy.
  2. Høyreklikk msFPCDnsCacheSize i den høyre ruten, og klikk Modify.
  3. I Value data-boksen skriver du 0 og klikker deretter OK.
 4. Endre verdien for DNS-bufferstørrelsen for Firewall-tjenesten til null. Gjør dette ved å bruke følgende fremgangsmåte:
  1. Under ArrayPolicy klikker du Proxy-WSP.
  2. Høyreklikk msFPCDnsCacheSize i den høyre ruten, og klikk deretter Modify.
  3. I Value data-boksen skriver du 0 og klikker deretter OK.
 5. Avslutt Registerredigering.
 6. Start ISA Management-verktøyet. Gjør dette ved å klikke Start, peke på Programs, Microsoft ISA Server og deretter klikke ISA Management.
 7. Utvid Servers and Arrays, utvid serveren, utvid Monitoring og klikk deretter Services.
 8. Klikk AdvancedView-menyen.
 9. Høyreklikk Web Proxy-tjenesten, og klikk deretter Stop.
 10. Når tjenesten er korrekt stoppet, høyreklikker du den og klikker Start.
 11. Høyreklikk Firewall-tjenesten, og klikk deretter Stop.
 12. Når tjenesten er korrekt stoppet, høyreklikker du den og klikker Start.

For Microsoft Proxy Server 2.0

Advarsel!  Hvis du bruker Registerredigering på feil måte, kan dette skape alvorlige problemer som gjør at du må installere operativsystemet på nytt. Microsoft kan ikke garantere at du kan løse problemer som er et resultat av feil bruk av Registerredigering. Bruk Registerredigering på eget ansvar.

Følg disse trinnene for å omgå dette problemet for en datamaskin som kjører Microsoft Proxy Server 2.0 Service Pack 1 (SP1):
 1. Start Registerredigering. Gjør dette ved å klikke Start, klikke Run, skrive inn regedit, og deretter klikke OK.
 2. Finn og klikk følgende registerundernøkkel:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
 3. Endre verdien for DNS-bufferstørrelsen for Web Proxy-tjenesten til null. Gjør dette ved å bruke følgende fremgangsmåte:
  1. Høyreklikk DnsCacheSize i den høyre ruten, og klikk Modify.
  2. I Value data-boksen skriver du 0 og klikker deretter OK.
 4. Avslutt Registerredigering.
 5. Start Proxy Management-verktøyet. Gjør dette ved å klikke Start, peke på Programs, Microsoft Proxy Server og deretter klikke Microsoft Management Console.
 6. Utvid noden for datamaskinen som kjører Proxy Server 2.0 SP1.
 7. Klikk Winsock proxy, og klikk deretter StopAction-menyen.
 8. Når tjenesten er korrekt stoppet, klikker du StartAction-menyen.
 9. Klikk Web proxy, og klikk deretter StopAction-menyen.
 10. Når tjenesten er korrekt stoppet, klikker du StartAction-menyen.
Obs!  Det finnes et skript for å automatisere trinnene som er beskrevet i denne artikkelen. Skriptet er utformet for å fungere på ISA Server 2000 og Proxy Server 2.0. Microsoft Internet Security and Acceleration (ISA) Server 2004 påvirkes ikke av dette sikkerhetsproblemet, og skriptet er ikke utformet for å kjøre på ISA Server 2004. Besøk følgende webområde for å få tak i skriptet:

Bruk Clrcache.cmd-verktøyet til å tømme webproxy-bufferen for ISA Server 2000. Du kan få tak i dette verktøyet ved å gå til følgende webområde: Microsoft tilbyr kontaktopplysninger om tredjeparter, noe som hjelper deg med å finne teknisk brukerstøtte. Disse kontaktopplysningene kan endres uten varsel. Microsoft garanterer ikke nøyaktigheten til disse kontaktopplysningene om tredjeparter.

Klikk følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base hvis du vil ha mer informasjon om hvordan du tømmer webproxy-bufferen i Proxy Server 2.0 (artikkelen kan være på engelsk):
811086 Slik tømmer du bufferen i Microsoft Proxy Server 2.0


Besøk følgende Microsoft-webområde for å få mer informasjon om kundestøttelevetiden for Proxy Server 2.0:
Brannmur, sikkerhet, sikkerhetsproblem, hull, gift, buffer,
Egenskaper

Artikkel-ID: 889189 – Forrige gjennomgang: 12/09/2015 01:53:16 – Revisjon: 3.1

Microsoft Internet Security and Acceleration Server 2000 Service Pack 1, Microsoft Small Business Server 2000 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Proxy Server 2.0 Standard Edition, Microsoft Internet Security and Acceleration Server 2000 Service Pack 2

 • kbnosurvey kbarchive kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189
Tilbakemelding