As consultas de DNS que são transmitidas através do ISA Server 2006 NAT não utilizam portas de origem aleatórias

Sintomas

Utiliza o Microsoft Internet Security and Acceleration (ISA) Server 2006 como um gateway de tradução de endereços de rede (NAT) e um cliente interno envia consultas de DNS (Domain Name System) através do ISA Server 2006. No entanto, depois de instalar a actualização de segurança 953230 (MS08-037) no cliente, as consultas de DNS que são transmitidas através do ISA Server 2006 NAT não utilizam portas de origem aleatórias.

Causa

Este problema ocorre porque as firewalls baseadas em NAT podem alterar a porta de origem que é utilizada por um cliente interno.
Para mais informações, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:

956190 As consultas de DNS que são enviadas através de uma firewall não utilizam portas de origem aleatórias, depois de instalar a actualização de segurança 953230 (MS08-037)

Resolução

Para resolver este problema, siga estes passos:
  1. Aplique a actualização do ISA Server 2006 que está disponível a partir do Centro de Transferências da Microsoft: Nota: depois de instalar esta actualização, o ISA Server atribui um conjunto de portas UDP aleatórias e, em seguida, o ISA Server selecciona uma porta deste conjunto para utilizar em novas sessões UDP de saída.
  2. Reinicie o computador que está a utilizar o ISA Server.

Como contornar

Para contornar este problema, utilize os métodos referidos no seguinte artigo da Base de Dados de Conhecimento:

956190 As consultas de DNS que são enviadas através de uma firewall não utilizam portas de origem aleatórias, depois de instalar a actualização de segurança 953230 (MS08-037)

Ponto Da Situação

A Microsoft confirmou que este problema ocorre nos produtos da Microsoft listados na secção "Aplica-se a".

Mais Informação

Como modificar o tamanho do conjunto de sockets

Depois de instalar a actualização, pode modificar o registo para configurar o tamanho do conjunto de sockets que o ISA Server cria no arranque.

Corrigir por mim

Para aumentar o tamanho do conjunto de sockets automaticamente, clique na hiperligação Corrigir este problema. Em seguida, clique em Executar na caixa de diálogo Transferência de Ficheiros e siga os passos indicados neste assistente.


Nota: este assistente pode estar apenas em inglês; contudo, a correcção automática também funciona em versões do Windows noutros idiomas.

Nota: se não estiver a trabalhar no computador que tem o problema, pode guardar a correcção automática numa unidade Flash ou num CD para poder executá-la no computador que tem o problema.


Deixar-me corrigir o problema

Importante: esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo da forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como criar uma cópia de segurança e restaurar o registo no Windows
Para aumentar você mesmo o tamanho do conjunto sockets, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva regedit e clique em OK.
  2. Localize e clique com o botão direito do rato na seguinte chave de registo:
    HKLM\System\CurrentControlSet\Services\Fweng\Parameters
  3. Aponte para Novo e clique em Valor DWORD.
  4. Escreva ReservedPortThreshold.
  5. Faça duplo clique em ReservedPortThreshold e, em seguida, escreva um número na caixa Dados de valor para definir o tamanho do conjunto de sockets.
  6. Reinicie o computador que está a utilizar o ISA Server.
Nota: o valor da entrada ReservedPortThreshold varia entre 1 e 1250. Este valor define metade do número de portas que será atribuído no arranque e conforme necessário durante a operação. Se esta entrada não existir, o ISA Server assume o valor de 50. Ao alterar este valor para um número inferior a 1250, aumenta a previsibilidade de utilização da porta de origem dentro do conjunto, não sendo recomendado.

Para definir esta entrada de registo para um valor recomendado, numa linha de comandos, execute o seguinte comando:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

Como desactivar esta actualização

Se tiver problemas depois de instalar esta actualização, pode desactivar a actualização.

Corrigir por mim

Para desactivar esta actualização automaticamente, clique na hiperligação Corrigir este problema. Em seguida, clique em Executar na caixa de diálogo Transferência de Ficheiros e siga os passos indicados neste assistente.


Nota: este assistente pode estar apenas em inglês; contudo, a correcção automática também funciona em versões do Windows noutros idiomas.

Nota: se não estiver a trabalhar no computador que tem o problema, pode guardar a correcção automática numa unidade Flash ou num CD para poder executá-la no computador que tem o problema.


Deixar-me corrigir o problema

Para desactivar esta actualização sozinho, siga estes passos:
  1. Guarde o seguinte script como KB956570.vbs.
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    '
    ' O presente código está protegido pelas leis de Copyright (c) 2008 da Microsoft Corporation.
    '
    ' Todos os direitos reservados.
    '
    ' O PRESENTE CÓDIGO E INFORMAÇÃO É FORNECIDO "TAL COMO ESTÁ" SEM QUALQUER TIPO DE
    ' GARANTIA, EXPRESSA OU IMPLÍCITA, INCLUINDO, SEM LIMITAÇÃO,
    ' AS GARANTIAS IMPLÍCITAS DE COMERCIALIZAÇÃO E/OU ADEQUAÇÃO A UM
    ' DETERMINADO FIM.
    '
    ' EM CASO ALGUM A MICROSOFT E/OU OS SEUS FORNECEDORES SERÃO
    ' RESPONSÁVEIS POR QUAISQUER PREJUÍZOS ESPECIAIS, INDIRECTOS OU CONSEQUENCIAIS OU
    ' QUAISQUER OUTROS RESULTANTES DA INCAPACIDADE DE UTILIZAÇÃO, PERDA DE DADOS OU LUCROS,
    ' SEJA POR ACÇÃO CONTRATUAL, NEGLIGÊNCIA OU OUTRA ACÇÃO LESIVA,
    ' DECORRENTE DE OU RELACIONADA COM A UTILIZAÇÃO OU O DESEMPENHO
    ' DO PRESENTE CÓDIGO OU INFORMAÇÃO.
    '
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "BindRandomizationCount"
    Const SE_VPS_VALUE = 0

    Sub SetValue()

    ' Create the root object.
    Dim root ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")

    'Declare the other objects needed.
    Dim array ' An FPCArray object
    Dim VendorSets ' An FPCVendorParametersSets collection
    Dim VendorSet ' An FPCVendorParametersSet object

    ' Get references to the array object
    ' and the network rules collection.
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets

    On Error Resume Next
    Set VendorSet = VendorSets.Item( SE_VPS_GUID )

    If Err.Number <> 0 Then
    Err.Clear

    ' Add the item
    Set VendorSet = VendorSets.Add( SE_VPS_GUID )
    CheckError
    WScript.Echo "New VendorSet added... " & VendorSet.Name

    Else
    WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME)
    End If

    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then

    Err.Clear
    VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE

    If Err.Number <> 0 Then
    CheckError
    Else
    VendorSets.Save false, true
    CheckError

    If Err.Number = 0 Then
    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
    End If
    End If
    Else
    WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
    End If

    End Sub

    Sub CheckError()

    If Err.Number <> 0 Then
    WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
    Err.Clear
    End If

    End Sub

    SetValue
  2. Clique em Iniciar, clique em Executar, escreva cmd e clique em OK.
  3. Na linha de comandos, introduza o seguinte comando e prima ENTER:
    cscript KB956570.vbs
  4. Reinicie o computador que está a utilizar o ISA Server.

Referências

Para obter mais informações sobre este problema, visite o seguinte Web site da Microsoft:Para mais informações sobre a actualização MS08-037, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento Microsoft:

953230 MS08-037: Vulnerabilidades no DNS podem permitir fraude

Para obter mais informações sobre a terminologia de actualizações de software, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
824684 Descrição da terminologia padrão utilizada para descrever as actualizações de software da Microsoft
Propriedades

ID do Artigo: 956570 - Última Revisão: 14/10/2010 - Revisão: 1

Comentários