Omzeilen van het beveiligingsprobleem betreffende DNS-spoofing in ISA Server 2000 en Proxy Server 2.0 dat wordt beschreven in Microsoft Beveiligingsbulletin MS04-039

Dit artikel is gearchiveerd. Het wordt aangeboden in de huidige vorm en wordt niet meer bijgewerkt.

Belangrijk Dit artikel bevat informatie over het bewerken van het register. Voordat u het register gaat bewerken, moet u er een back-up van maken en moet u weten hoe u het register kunt herstellen als er een probleem optreedt. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen of bewerken van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
256986 Beschrijving van het Microsoft Windows-register
Samenvatting
Microsoft Internet Security & Acceleration (ISA) Server 2000 en Microsoft Proxy Server 2.0 zijn kwetsbaar voor het beveiligingsprobleem dat wordt beschreven in het Microsoft-beveiligingsbulletin MS04-039. In dit scenario kunnen er vervalste gegevens worden opgeslagen in de DNS-cache van ISA Server 2000 Service Pack 1 (SP1), ISA Server 2000 Service Pack 2 (SP2) of Proxy Server 2.0 Service Pack 1 (SP1).

Dit beveiligingslek wordt beschreven in het Microsoft-beveiligingsbulletin MS04-039. Dit bulletin bevat tevens koppelingen voor het downloaden van de beveiligingsupdates waarmee dit probleem kan worden voorkomen. Dit artikel bevat instructies voor het beschermen van uw computers totdat de beveiligingsupdate is geïnstalleerd.

Inleiding
In dit artikel wordt uitgelegd hoe u problemen kunt voorkomen met vervalste gegevens in de DNS-cache, zoals beschreven in het onderstaande beveiligingsbulletin:
Meer informatie
In het Microsoft-beveiligingsbulletin MS04-039 wordt een beveiligingslek beschreven die een kwaadwillende gebruiker in staat stelt vertrouwde internetgegevens te vervalsen (spoofing). In dit scenario is het mogelijk dat gebruikers denken dat ze een vertrouwde internetsite bezoeken, terwijl ze zich in werkelijkheid bevinden op een site die is gemaakt voor malafide praktijken. Een aanvaller kan alleen misbruik maken van dit beveiligingslek als een gebruiker zonder dit te weten vervalste inhoud bekijkt of op een koppeling naar vervalste inhoud klikt.

U kunt dit probleem voorkomen door de beveiligingsupdate uit het Microsoft-beveiligingsbulletin MS04-039 te installeren.

Ga op een van de volgende manieren te werk om dit probleem te omzeilen:

Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition geïnstalleerd in een array

Waarschuwing Als u met de module ADSI Edit, het hulpprogramma LDP of een andere LDAP versie 3-client incorrecte wijzigingen doorvoert in de kenmerken van Active Directory-objecten, kunnen er ernstige problemen optreden. Deze problemen kunnen mogelijk alleen worden opgelost door Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 of zowel Windows als Exchange opnieuw te installeren. Microsoft kan niet garanderen dat problemen als gevolg van incorrecte wijzigingen in kenmerken van Active Directory-objecten kunnen worden opgelost. Het wijzigen van deze kenmerken is dan ook voor uw eigen risico.

U kunt dit probleem als volgt tijdelijk oplossen voor ISA Server 2000 Service Pack 1 (SP1) of ISA Server 2000 Service Pack 2 (SP2) in een ondernemings-array:
 1. Start het LDP-hulpprogramma. Klik hiervoor op Start, klik op Uitvoeren, typ ldp.exe en klik op OK.

  Opmerking Ldp.exe maakt deel uit van de ondersteuningsprogramma's van Microsoft Windows. Als u deze ondersteuningsprogramma's wilt installeren in Windows 2000, dubbelklikt u op Setup.exe in de map Support\Tools op de cd van Windows 2000. Als u deze ondersteuningsprogramma's wilt installeren in Windows Server 2003, dubbelklikt u op Supptools.msi in de map Support\Tools op de cd van Windows Server 2003.
 2. Maak verbinding met de Active Directory-adreslijstservice. Ga hiervoor als volgt te werk:
  1. Open het menu Connection, kies Connect, laat het vak Server leeg en klik op OK.
  2. Klik op Bind in het menu Connection.
  3. Typ in het vak User de naam van een gebruikersaccount met schrijftoegang voor ISA Server-objecten in Active Directory. Gebruik bijvoorbeeld een domeinbeheerdersaccount.
  4. Typ in het vak Password het wachtwoord van de gebruikersaccount met schrijftoegang voor ISA Server-objecten in Active Directory.
  5. Typ in het vak Domain het domein van deze ISA Server-computer en klik op OK.
  6. Controleer of in het rechterdeelvenster het volgende bericht wordt weergegeven:
   Authenticated as dn:'gebruikersnaam'.


   Opmerking Als dit bericht niet wordt weergegeven, bent u niet geverifieerd. U kunt deze procedure alleen voltooien als u bent geverifieerd in Active Directory.
 3. Geef de Active Directory-structuur weer. Ga hiervoor als volgt te werk:
  1. Klik in het menu View op Tree en klik vervolgens op OK.
  2. Vouw in het linkerdeelvenster DC=voorbeeld,DC=com uit, waarbij voorbeeld.com de naam van uw domein is.
  3. Dubbelklik op CN=System,DC=voorbeeld,DC=com om dit object uit te vouwen.
  4. Dubbelklik op CN=Fpc,CN=System,DC=voorbeeld,DC=com om dit object uit te vouwen.
  5. Dubbelklik op CN=Arrays,CN=Fpc,CN=System,DC=voorbeeld,DC=com om dit object uit te vouwen.
 4. Geef de verschillende array-beleidsobjecten weer. Ga hiervoor als volgt te werk:
  1. Dubbelklik onder elk array-object op CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=voorbeeld,DC=com om dit object uit te vouwen.

   Vervang GUIDarray door een GUID die wordt weergegeven onder het object Arrays. Deze GUID heeft de volgende notatie:
   {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
  2. Dubbelklik op CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=voorbeeld,DC=com om dit object uit te vouwen.
 5. Wijzig de grootte van de DNS-cache voor de Firewall-service. Ga hiervoor als volgt te werk:
  1. Klik onder CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=voorbeeld,DC=com met de rechtermuisknop op CN=Proxy-WSP,CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=voorbeeld,DC=com en klik vervolgens op Modify.
  2. Accepteer de standaardwaarde in het vak Dn, typ msFPCDnsCacheSize in het vak Attribute en typ 0 (nul) in het vak Values.
  3. Klik onder Operation op Replace, klik op Enter en klik op Run.
  Als het goed is, worden er in het rechterdeelvenster nu gegevens weergegeven die er ongeveer zo uitzien:
  ***Call Modify...	ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com',[1] attrs);	Modified 
 6. Wijzig de grootte van de DNS-cache voor de Web Proxy-service. Volg hiervoor de instructies uit stap 5. Vervang nu echter overal CN=Proxy-WSP door CN=WebProxy.
 7. Voer stappen 4 tot en met 6 voor het wijzigen van de DNS-cache voor de Firewall-service en de Web Proxy-service uit voor alle objecten CN=GUIDarray die worden weergegeven onder het object CN=Arrays.
 8. Sluit LDP af.
 9. Start de ISA Server-services binnen uw onderneming opnieuw. Ga hiervoor als volgt te werk:
  1. Start het hulpprogramma ISA Management. Hiertoe klikt u op Start, wijst u Programma's en Microsoft ISA Server aan en klikt u op ISA Management.
  2. Vouw achtereenvolgens Servers and Arrays en Monitoring uit en klik op Services.
  3. Klik met de rechtermuisknop op de Web Proxy-service van een ISA-server en klik op Stop.
  4. Als de service is gestopt, klikt u met de rechtermuisknop op dezelfde service en kiest u Start.
  5. Klik met de rechtermuisknop op de Firewall-service van een ISA-server en klik op Stop.
  6. Als de service is gestopt, klikt u met de rechtermuisknop op dezelfde service en kiest u Start.
  7. Voer stappen c tot en met f uit om deze services opnieuw te starten voor alle ISA-servers in uw array.
  8. Voer stappen b tot en met g uit om deze services opnieuw te starten voor alle ISA-servers in de andere arrays.
 10. Sluit de module ISA Management van Microsoft Management Console (MMC) af.

Microsoft Internet Security and Acceleration Server 2000 Standard Edition of ISA Server 2000 Enterprise Edition in zelfstandige modus

Waarschuwing Onjuist gebruik van de Register-editor kan ernstige problemen veroorzaken die ertoe kunnen leiden dat u het besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die voortvloeien uit een verkeerd gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is dan ook voor uw eigen risico.

U kunt dit probleem als volgt tijdelijk oplossen voor een computer met ISA Server 2000 Standard Edition (SP1) of ISA Server 2000 Standard Edition SP2:
 1. Start de Register-editor. Hiertoe klikt u op Start en op Uitvoeren. Typ regedit en klik op OK.
 2. Klik op de volgende registersubsleutel:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<GUIDarray>\ArrayPolicy
  In plaats van GUIDarray zoekt u de GUID die wordt weergegeven onder de registersubsleutel Arrays. Deze GUID heeft de volgende notatie:
  {88F55145-3365-4D10-8DE5-FD433537CFC6}
 3. Wijzig de waarde voor de grootte van de DNS-cache voor de Web Proxy-service in nul. Ga hiervoor als volgt te werk:
  1. Klik onder ArrayPolicy op WebProxy.
  2. Klik in het rechterdeelvenster met de rechtermuisknop op msFPCDnsCacheSize en kies Wijzigen.
  3. Typ 0 (nul) in het vak Waardegegevens en klik op OK.
 4. Wijzig de waarde voor de grootte van de DNS-cache voor de Firewall-service in nul. Ga hiervoor als volgt te werk:
  1. Klik onder ArrayPolicy op Proxy-WSP.
  2. Klik in het rechterdeelvenster met de rechtermuisknop op msFPCDnsCacheSize en kies Wijzigen.
  3. Typ 0 (nul) in het vak Waardegegevens en klik op OK.
 5. Sluit de Register-editor af.
 6. Start het hulpprogramma ISA Management. Hiertoe klikt u op Start, wijst u Programma's en Microsoft ISA Server aan en klikt u op ISA Management.
 7. Vouw achtereenvolgens Servers and Arrays, uw server en Monitoring uit en klik op Services.
 8. Klik op Geavanceerd in het menu Beeld.
 9. Klik met de rechtermuisknop op de Web Proxy-service en kies Stop.
 10. Als de service is gestopt, klikt u met de rechtermuisknop op dezelfde service en kiest u Start.
 11. Klik met de rechtermuisknop op de Firewall-service en kies Stop.
 12. Als de service is gestopt, klikt u met de rechtermuisknop op dezelfde service en kiest u Start.

Microsoft Proxy Server 2.0

Waarschuwing Onjuist gebruik van de Register-editor kan ernstige problemen veroorzaken die ertoe kunnen leiden dat u het besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die voortvloeien uit een verkeerd gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is dan ook voor uw eigen risico.

U kunt dit probleem als volgt tijdelijk oplossen voor een computer met Microsoft Proxy Server 2.0 Service Pack 1 (SP1):
 1. Start de Register-editor. Hiertoe klikt u op Start en op Uitvoeren. Typ regedit en klik op OK.
 2. Klik op de volgende registersubsleutel:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
 3. Wijzig de waarde voor de grootte van de DNS-cache voor de Web Proxy-service in nul. Ga hiervoor als volgt te werk:
  1. Klik in het rechterdeelvenster met de rechtermuisknop op DnsCacheSize en kies Wijzigen.
  2. Typ 0 (nul) in het vak Waardegegevens en klik op OK.
 4. Sluit de Register-editor af.
 5. Start het hulpprogramma Proxy Server. Hiertoe klikt u op Start, wijst u Programma's en Microsoft Proxy Server aan en klikt u op Microsoft Management Console.
 6. Vouw het knooppunt uit van de computer met Proxy Server 2.0 SP1.
 7. Klik op Winsock proxy en kies Stop in het menu Action.
 8. Als de service is gestopt, klikt u op Start in het menu Action.
 9. Klik op Web Proxy en kies Stop in het menu Action.
 10. Als de service is gestopt, klikt u op Start in het menu Action.
Opmerking Er is een script beschikbaar voor het automatiseren van de stappen die in dit artikel worden beschreven. Dit script is bedoeld voor gebruik met ISA Server 2000 en Proxy Server 2.0. Dit beveiligingsprobleem treedt niet op met Microsoft Internet Security and Acceleration (ISA) Server 2004 en dit script is dan ook niet geschikt voor ISA Server 2004. Ga naar de volgende website als u dit script wilt downloaden:

U kunt de cache van de service Web Proxy van ISA Server 2000 leegmaken met het programma Clrcache.cmd. U kunt dit programma downloaden van de volgende website: Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder aankondiging worden gewijzigd. Microsoft kan derhalve niet instaan voor de juistheid van deze contactinformatie.

Klik voor meer informatie over het leegmaken van de cache van de service Web Proxy van ISA Server 2000 op het volgende artikelnummer in de Microsoft Knowledge Base:
811086 De cache in Microsoft Proxy Server 2.0 leegmaken


Als u meer informatie wilt over de levenscyclus voor ondersteuning van Proxy Server 2.0, gaat u naar de volgende Microsoft-website:
Firewall, security, vulnerability, hole, poison, cache,
Eigenschappen

Artikel-id: 889189 - Laatst bijgewerkt: 12/09/2015 01:53:16 - Revisie: 3.1

Microsoft Internet Security and Acceleration Server 2000 Service Pack 1, Microsoft Small Business Server 2000 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Proxy Server 2.0 Standard Edition, Microsoft Internet Security and Acceleration Server 2000 Service Pack 2

 • kbnosurvey kbarchive kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189
Feedback