As consultas de DNS que são transmitidas através do ISA Server 2006 NAT não utilizam portas de origem aleatórias

Sintomas
Utiliza o Microsoft Internet Security and Acceleration (ISA) Server 2006 como um gateway de tradução de endereços de rede (NAT) e um cliente interno envia consultas de DNS (Domain Name System) através do ISA Server 2006. No entanto, depois de instalar a actualização de segurança 953230 (MS08-037) no cliente, as consultas de DNS que são transmitidas através do ISA Server 2006 NAT não utilizam portas de origem aleatórias.
Causa
Este problema ocorre porque as firewalls baseadas em NAT podem alterar a porta de origem que é utilizada por um cliente interno. Para mais informações, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
956190 As consultas de DNS que são enviadas através de uma firewall não utilizam portas de origem aleatórias, depois de instalar a actualização de segurança 953230 (MS08-037)
Resolução
Para resolver este problema, siga estes passos:
  1. Aplique a actualização do ISA Server 2006 que está disponível a partir do Centro de Transferências da Microsoft: Nota: depois de instalar esta actualização, o ISA Server atribui um conjunto de portas UDP aleatórias e, em seguida, o ISA Server selecciona uma porta deste conjunto para utilizar em novas sessões UDP de saída.
  2. Reinicie o computador que está a utilizar o ISA Server.
Como contornar
Para contornar este problema, utilize os métodos referidos no seguinte artigo da Base de Dados de Conhecimento:
956190 As consultas de DNS que são enviadas através de uma firewall não utilizam portas de origem aleatórias, depois de instalar a actualização de segurança 953230 (MS08-037)
Ponto Da Situação
A Microsoft confirmou que este problema ocorre nos produtos da Microsoft listados na secção "Aplica-se a".
Mais Informação

Como modificar o tamanho do conjunto de sockets

Depois de instalar a actualização, pode modificar o registo para configurar o tamanho do conjunto de sockets que o ISA Server cria no arranque.

Corrigir por mim

Para aumentar o tamanho do conjunto de sockets automaticamente, clique na hiperligação Corrigir este problema. Em seguida, clique em Executar na caixa de diálogo Transferência de Ficheiros e siga os passos indicados neste assistente.


Nota: este assistente pode estar apenas em inglês; contudo, a correcção automática também funciona em versões do Windows noutros idiomas.

Nota: se não estiver a trabalhar no computador que tem o problema, pode guardar a correcção automática numa unidade Flash ou num CD para poder executá-la no computador que tem o problema.


Deixar-me corrigir o problema

Importante: esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo da forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como criar uma cópia de segurança e restaurar o registo no Windows
Para aumentar você mesmo o tamanho do conjunto sockets, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva regedit e clique em OK.
  2. Localize e clique com o botão direito do rato na seguinte chave de registo:
    HKLM\System\CurrentControlSet\Services\Fweng\Parameters
  3. Aponte para Novo e clique em Valor DWORD.
  4. Escreva ReservedPortThreshold.
  5. Faça duplo clique em ReservedPortThreshold e, em seguida, escreva um número na caixa Dados de valor para definir o tamanho do conjunto de sockets.
  6. Reinicie o computador que está a utilizar o ISA Server.
Nota: o valor da entrada ReservedPortThreshold varia entre 1 e 1250. Este valor define metade do número de portas que será atribuído no arranque e conforme necessário durante a operação. Se esta entrada não existir, o ISA Server assume o valor de 50. Ao alterar este valor para um número inferior a 1250, aumenta a previsibilidade de utilização da porta de origem dentro do conjunto, não sendo recomendado.

Para definir esta entrada de registo para um valor recomendado, numa linha de comandos, execute o seguinte comando:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Fweng\Parameters /v ReservedPortThreshold /t REG_DWORD /d 1250 /f

Como desactivar esta actualização

Se tiver problemas depois de instalar esta actualização, pode desactivar a actualização.

Corrigir por mim

Para desactivar esta actualização automaticamente, clique na hiperligação Corrigir este problema. Em seguida, clique em Executar na caixa de diálogo Transferência de Ficheiros e siga os passos indicados neste assistente.


Nota: este assistente pode estar apenas em inglês; contudo, a correcção automática também funciona em versões do Windows noutros idiomas.

Nota: se não estiver a trabalhar no computador que tem o problema, pode guardar a correcção automática numa unidade Flash ou num CD para poder executá-la no computador que tem o problema.


Deixar-me corrigir o problema

Para desactivar esta actualização sozinho, siga estes passos:
  1. Guarde o seguinte script como KB956570.vbs.
    '-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-''    O presente código está protegido pelas leis de Copyright (c) 2008 da Microsoft Corporation.  ''    Todos os direitos reservados.''    O PRESENTE CÓDIGO E INFORMAÇÃO É FORNECIDO "TAL COMO ESTÁ" SEM QUALQUER TIPO DE'    GARANTIA, EXPRESSA OU IMPLÍCITA, INCLUINDO, SEM LIMITAÇÃO,'    AS GARANTIAS IMPLÍCITAS DE COMERCIALIZAÇÃO E/OU ADEQUAÇÃO A UM'    DETERMINADO FIM.''    EM CASO ALGUM A MICROSOFT E/OU OS SEUS FORNECEDORES SERÃO'    RESPONSÁVEIS POR QUAISQUER PREJUÍZOS ESPECIAIS, INDIRECTOS OU CONSEQUENCIAIS OU'    QUAISQUER OUTROS RESULTANTES DA INCAPACIDADE DE UTILIZAÇÃO, PERDA DE DADOS OU LUCROS,'    SEJA POR ACÇÃO CONTRATUAL, NEGLIGÊNCIA OU OUTRA ACÇÃO LESIVA,'    DECORRENTE DE OU RELACIONADA COM A UTILIZAÇÃO OU O DESEMPENHO'    DO PRESENTE CÓDIGO OU INFORMAÇÃO.''-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "BindRandomizationCount"Const SE_VPS_VALUE = 0Sub SetValue()    ' Create the root object.    Dim root  ' The FPCLib.FPC root object    Set root = CreateObject("FPC.Root")    'Declare the other objects needed.    Dim array       ' An FPCArray object    Dim VendorSets  ' An FPCVendorParametersSets collection    Dim VendorSet   ' An FPCVendorParametersSet object    ' Get references to the array object    ' and the network rules collection.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets    On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )    If Err.Number <> 0 Then        Err.Clear        ' Add the item        Set VendorSet = VendorSets.Add( SE_VPS_GUID )        CheckError        WScript.Echo "New VendorSet added... " & VendorSet.Name    Else        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)    End If    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then        Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE        If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError            If Err.Number = 0 Then                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"            End If        End If    Else        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"    End IfEnd SubSub CheckError()    If Err.Number <> 0 Then        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End IfEnd SubSetValue
  2. Clique em Iniciar, clique em Executar, escreva cmd e clique em OK.
  3. Na linha de comandos, introduza o seguinte comando e prima ENTER:
    cscript KB956570.vbs
  4. Reinicie o computador que está a utilizar o ISA Server.
Referências
Para obter mais informações sobre este problema, visite o seguinte Web site da Microsoft:Para mais informações sobre a actualização MS08-037, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
953230 MS08-037: Vulnerabilidades no DNS podem permitir fraude
Para obter mais informações sobre a terminologia de actualizações de software, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
824684 Descrição da terminologia padrão utilizada para descrever as actualizações de software da Microsoft
Propriedades

ID do Artigo: 956570 - Última Revisão: 10/14/2010 13:29:00 - Revisão: 2.1

Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition, Microsoft Internet Security and Acceleration Server 2006 Standard Edition

  • kbexpertiseinter atdownload kbqfe kbfixme kbmsifixme KB956570
Comentários