Jak obejść lukę związaną z fałszowaniem DNS w programach ISA Server 2000 i Proxy Server 2.0, opisaną w biuletynie MS04-039 firmy Microsoft dotyczącym zabezpieczeń

Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.

Ważne: Ten artykuł zawiera informacje na temat modyfikowania rejestru. Przed zmodyfikowaniem rejestru utwórz jego kopię zapasową i upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać informacje dotyczące wykonywania kopii zapasowej, przywracania i edytowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base
256986 Opis rejestru systemu Microsoft Windows
Streszczenie
W programach Microsoft Internet Security and Acceleration (ISA) Server 2000 oraz Microsoft Proxy Server 2.0 istnieje luka w zabezpieczeniach, którą opisano w biuletynie zabezpieczeń MS04-039 firmy Microsoft. W tym scenariuszu bufor DNS w programie ISA Server 2000 z dodatkiem Service Pack 1 (SP1), ISA Server 2000 z dodatkiem Service Pack 2 (SP2) lub Proxy Server 2.0 z dodatkiem Service Pack 1 (SP1) może zostać sfałszowany.

Tę lukę opisano w biuletynie MS04-039 firmy Microsoft dotyczącym zabezpieczeń. Ponadto biuletyn ten zawiera łącza umożliwiające pobranie aktualizacji zabezpieczeń rozwiązujących ten problem. W artykule zawarto instrukcje pomagające ochronić systemy przed tym problemem, zanim możliwe będzie zainstalowanie odpowiedniej aktualizacji zabezpieczeń.

WPROWADZENIE
W tym artykule opisano sposób obejścia luki związanej z buforem DNS, którą opisano w następującym biuletynie zabezpieczeń MS04-039 firmy Microsoft:
Więcej informacji
W biuletynie MS04-039 firmy Microsoft dotyczącym zabezpieczeń opisano lukę, która umożliwia nieuczciwemu użytkownikowi sfałszowanie zaufanej zawartości internetowej. W tym scenariuszu użytkownicy mogą dać się oszukać, że odwiedzają zaufaną witrynę internetową, podczas gdy w rzeczywistości odwiedzają witrynę utworzoną do nieuczciwych celów. Aby spróbować wykorzystać tę lukę, atakujący musiałby najpierw przekonać użytkownika do wyświetlenia sfałszowanej zawartości lub kliknięcia łącza do sfałszowanej zawartości.

Aby rozwiązać ten problem, zainstaluj aktualizację zabezpieczeń opisaną w biuletynie zabezpieczeń MS04-039 firmy Microsoft.

W celu obejścia tego problemu należy użyć jednej z poniższych metod:

Program Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition zainstalowany w tablicy

Ostrzeżenie: Niepoprawna modyfikacja atrybutów obiektów usługi Active Directory przy użyciu przystawki Edycja ADSI, narzędzia LDP lub dowolnego innego klienta protokołu LDAP (Lightweight Directory Access Protocol ) w wersji 3 może spowodować poważne problemy, których usunięcie może wymagać ponownej instalacji systemu Microsoft Windows 2000 Server, Microsoft Windows Server 2003, programu Microsoft Exchange 2000 Server, programu Microsoft Exchange Server 2003 lub zarówno jednego z tych systemów Windows, jak i jednego z tych programów Exchange. Firma Microsoft nie może zagwarantować, że możliwe będzie rozwiązanie problemów, które wystąpiły po niepoprawnej modyfikacji atrybutów obiektów usługi Active Directory. Te atrybuty modyfikuje się na własną odpowiedzialność.

Aby obejść ten problem w przypadku programu ISA Server 2000 z dodatkiem Service Pack 1 (SP1) lub ISA Server 2000 z dodatkiem Service Pack 2 (SP2) w tablicy przedsiębiorstwa, wykonaj następujące kroki:
 1. Uruchom narzędzie LDP. Aby to zrobić, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie ldp.exe, a następnie kliknij przycisk OK.

  Uwaga: Narzędzie Ldp.exe jest jednym z narzędzi obsługi systemu Microsoft Windows. Aby zainstalować narzędzia obsługi systemu Windows w systemie Windows 2000, kliknij dwukrotnie plik Setup.exe znajdujący się w folderze Support\Tools na dysku CD z systemem Windows 2000. Aby zainstalować narzędzia obsługi systemu Windows w systemie Windows Server 2003, kliknij dwukrotnie plik Supptools.msi znajdujący się w folderze Support\Tools na dysku CD z systemem Windows Server 2003.
 2. Połącz się z usługą katalogową Active Directory. Aby to zrobić, wykonaj następujące kroki:
  1. W menu Connection kliknij polecenie Connect, pozostaw pole Server puste, a następnie kliknij przycisk OK.
  2. W menu Connection kliknij polecenie Bind.
  3. W polu User wpisz nazwę konta użytkownika, które ma dostęp do zapisu do obiektów programu ISA Server w usłudze Active Directory. Zazwyczaj jest to konto administratora domeny.
  4. W polu Password wpisz hasło konta użytkownika, które ma dostęp do zapisu do obiektów programu ISA Server w usłudze Active Directory.
  5. W polu Domain wpisz nazwę domeny, do której należy komputer z programem ISA Server, a następnie kliknij przycisk OK.
  6. W prawym okienku sprawdź, czy pojawił się następujący komunikat:
   Authenticated as dn:'UserName'.


   Ostrzeżenie: Nieprawidłowe korzystanie z Edytora rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Nie możesz kontynuować, dopóki pomyślnie nie uwierzytelnisz się w usłudze Active Directory.
 3. Otwórz drzewo usługi Active Directory. Aby to zrobić, wykonaj następujące kroki:
  1. W menu View kliknij polecenie Tree, a następnie kliknij przycisk OK.
  2. W lewym okienku rozwiń gałąź DC=przykład,DC=com, gdzie przykład.com jest nazwą domeny.
  3. Kliknij dwukrotnie pozycję CN=System,DC=przykład,DC=com, aby rozwinąć ten obiekt.
  4. Kliknij dwukrotnie pozycję CN=Fpc,CN=System,DC=przykład,DC=com, aby rozwinąć ten obiekt.
  5. Kliknij dwukrotnie pozycję CN=Arrays,CN=Fpc,CN=System,DC=przykład,DC=com, aby rozwinąć ten obiekt.
 4. Otwórz każdy obiekt zasad tablicy. Aby to zrobić, wykonaj następujące kroki:
  1. Pod każdym z obiektów tablicy kliknij dwukrotnie pozycję CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=przykład,DC=com, aby rozwinąć ten obiekt.

   Zastąp symbol ArrayGUID
   identyfikatorem GUID, który pojawia się w folderze obiektu Arrays.
  2. Kliknij dwukrotnie pozycję CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=przykład,DC=com, aby rozwinąć ten obiekt.
 5. Zmodyfikuj rozmiar buforu DNS usługi Firewall. Aby to zrobić, wykonaj następujące kroki:
  1. W obszarze CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=przykład,DC=com kliknij prawym przyciskiem myszy pozycję CN=Proxy-WSP,CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=przykład,DC=com, a następnie kliknij polecenie Modyfikuj.
  2. Pozostaw wartość domyślną w polu Dn, wpisz wartość msFPCDnsCacheSize w polu Attribute, a następnie wpisz wartość 0 (zero) w polu Values.
  3. W obszarze Operation kliknij pozycję Replace, kliknij przycisk Enter, a następnie kliknij przycisk Run.
  Jeżeli operacja zakończy się powodzeniem, w prawym okienku zostaną wyświetlone informacje podobne do następujących:
  ***Call Modify... ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com',[1] attrs); Modified 
 6. Zmodyfikuj rozmiar buforu DNS usługi Web Proxy. Aby to zrobić, wykonaj instrukcje z kroku 5, zastępując wszystkie wystąpienia tekstu CN=Proxy-WSP tekstem CN=WebProxy.
 7. Wykonaj kroki od 4 do 6, aby zmodyfikować rozmiar pamięci podręcznej serwera DNS usługi zapory oraz pamięci podręcznej serwera DNS usługi serwera proxy sieci Web dla każdego obiektu CN=ArrayGUID wyświetlanego pod obiektem CN=Arrays.
 8. Zamknij narzędzie LDP.
 9. Uruchom ponownie usługi programu ISA Server w swoim przedsiębiorstwie. Aby to zrobić, wykonaj następujące kroki:
  1. Uruchom narzędzie ISA Management. W tym celu kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Microsoft ISA Server, a następnie kliknij polecenie ISA Management.
  2. Rozwiń węzeł Servers and Arrays, rozwiń swoją tablicę, rozwiń węzeł Monitoring, a następnie kliknij pozycję Services.
  3. Kliknij prawym przyciskiem myszy usługę Web Proxy programu ISA Server, a następnie kliknij polecenie Stop.
  4. Po pomyślnym zatrzymaniu usługi kliknij prawym przyciskiem myszy tę samą usługę, a następnie kliknij polecenie Start.
  5. Kliknij prawym przyciskiem myszy usługę Firewall programu ISA Server, a następnie kliknij polecenie Stop.
  6. Po pomyślnym zatrzymaniu usługi kliknij prawym przyciskiem myszy tę samą usługę, a następnie kliknij polecenie Start.
  7. Wykonaj kroki od c do f, aby uruchomić ponownie te usługi dla wszystkich serwerów ISA w danej tablicy.
  8. Wykonaj kroki od b do g, aby uruchomić ponownie te usługi dla wszystkich serwerów ISA w innych tablicach.
 10. Zamknij przystawkę Microsoft Management Console (MMC) programu ISA Management.

Program Microsoft Internet Security and Acceleration Server 2000 Standard Edition lub ISA Server 2000 Enterprise Edition w trybie autonomicznym

Ostrzeżenie: Nieprawidłowe użycie Edytora rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru będzie możliwe. Możesz używać Edytora rejestru na własną odpowiedzialność.

Aby obejść ten problem w przypadku komputera z programem ISA Server 2000 Standard Edition z dodatkiem SP1 lub ISA Server 2000 Standard Edition z dodatkiem SP2, wykonaj następujące kroki:
 1. Uruchom Edytor rejestru. Aby to zrobić, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
 2. Zlokalizuj i kliknij następujący podklucz rejestru:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<ArrayGUID>\ArrayPolicy
  Zastąp identyfikator ArrayGUID identyfikatorem GUID, który pojawia się w podkluczu rejestru Arrays. Identyfikator ten ma wygląd podobny do następującego:
  {88F55145-3365-4D10-8DE5-FD433537CFC6}
 3. Zmień rozmiar buforu DNS usługi Web Proxy na zero. Aby to zrobić, wykonaj następujące kroki:
  1. W podkluczu ArrayPolicy kliknij pozycję WebProxy.
  2. W prawym okienku kliknij prawym przyciskiem myszy pozycję msFPCDnsCacheSize, a następnie kliknij polecenie Modyfikuj.
  3. W polu Dane wartości wpisz wartość 0 (zero), a następnie kliknij przycisk OK.
 4. Zmień rozmiar buforu DNS usługi Firewall na zero. Aby to zrobić, wykonaj następujące kroki:
  1. W podkluczu ArrayPolicy kliknij pozycję Proxy-WSP.
  2. W prawym okienku kliknij prawym przyciskiem myszy pozycję msFPCDnsCacheSize, a następnie kliknij polecenie Modify.
  3. W polu Dane wartości wpisz wartość 0 (zero), a następnie kliknij przycisk OK.
 5. Zamknij Edytor rejestru.
 6. Uruchom narzędzie ISA Management. W tym celu kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Microsoft ISA Server, a następnie kliknij polecenie ISA Management.
 7. Rozwiń węzeł Servers and Arrays, rozwiń swój serwer, rozwiń węzeł Monitoring, a następnie kliknij pozycję Services.
 8. W menu View kliknij polecenie Advanced.
 9. Kliknij prawym przyciskiem usługę Web Proxy, a następnie kliknij polecenie Stop.
 10. Po pomyślnym zatrzymaniu usługi kliknij prawym przyciskiem myszy tę samą usługę, a następnie kliknij polecenie Start.
 11. Kliknij prawym przyciskiem usługę Firewall, a następnie kliknij polecenie Stop.
 12. Po pomyślnym zatrzymaniu usługi kliknij prawym przyciskiem myszy tę samą usługę, a następnie kliknij polecenie Start.

Program Microsoft Proxy Server 2.0

Ostrzeżenie: Nieprawidłowe użycie Edytora rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru będzie możliwe. Możesz używać Edytora rejestru na własną odpowiedzialność.

Aby obejść ten problem w przypadku komputera z programem Microsoft Proxy Server 2.0 z dodatkiem Service Pack 1 (SP1), wykonaj następujące kroki:
 1. Uruchom Edytor rejestru. Aby to zrobić, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
 2. Zlokalizuj i kliknij następujący podklucz rejestru:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
 3. Zmień rozmiar buforu DNS usługi Web Proxy na zero. Aby to zrobić, wykonaj następujące kroki:
  1. W prawym okienku kliknij prawym przyciskiem myszy pozycję DnsCacheSize, a następnie kliknij polecenie Modify.
  2. W polu Dane wartości wpisz wartość 0 (zero), a następnie kliknij przycisk OK.
 4. Zamknij Edytor rejestru.
 5. Uruchom narzędzie Proxy Management. W tym celu kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Microsoft Proxy Server, a następnie kliknij polecenie Microsoft Management Console.
 6. Rozwiń węzeł komputera z programem Proxy Server 2.0 z dodatkiem SP1.
 7. Kliknij pozycję Winsock proxy, a następnie kliknij polecenie Zatrzymaj w menu Akcja.
 8. Po pomyślnym zatrzymaniu usługi kliknij polecenie Uruchom w menu Akcja.
 9. Kliknij pozycję Web Proxy, a następnie kliknij polecenie Zatrzymaj w menu Akcja.
 10. Po pomyślnym zatrzymaniu usługi kliknij polecenie Uruchom w menu Akcja.
Uwaga: Dostępny jest skrypt, który automatyzuje kroki opisane w tym artykule. Ten skrypt jest przeznaczony dla programów ISA Server 2000 i Proxy Server 2.0. Program Microsoft Internet Security and Acceleration (ISA) Server 2004 nie jest narażony na tę lukę, więc skrypt nie działa w przypadku programu ISA Server 2004. Aby uzyskać ten skrypt, odwiedź następującą witrynę sieci Web: Aby wyczyścić bufor usługi Web Proxy programu ISA Server 2000, użyj narzędzia Clrcache.cmd. Aby pobrać to narzędzie, odwiedź następującą witrynę sieci Web: Firma Microsoft podaje informacje o sposobach kontaktu z innymi firmami, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Informacje tego typu mogą ulec zmianie bez powiadomienia. Firma Microsoft nie gwarantuje, że informacje dotyczące innych firm są precyzyjne.

Aby uzyskać dodatkowe informacje dotyczące sposobu wyczyszczenia buforu usługi Web Proxy w programie Proxy Server 2.0, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
811086 How to clear the cache in Microsoft Proxy Server 2.0


Aby uzyskać dodatkowe informacje na temat pomocy technicznej na poszczególnych etapach cyklu życia programu Proxy Server 2.0, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Firewall, security, vulnerability, hole, poison, cache,
Właściwości

Identyfikator artykułu: 889189 — ostatni przegląd: 12/09/2015 01:53:17 — zmiana: 4.1

Microsoft Internet Security and Acceleration Server 2000 Service Pack 1, Microsoft Small Business Server 2000 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Proxy Server 2.0 Standard Edition, Microsoft Internet Security and Acceleration Server 2000 Service Pack 2

 • kbnosurvey kbarchive kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189
Opinia