如何解決 Microsoft 安全性公告 MS04-039 中所描述的 ISA Server 2000 和 Proxy Server 2.0 DNS 詐騙弱點

本文已封存。本文係以「現狀」提供且不會再更新。

重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和編輯登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Microsoft Windows 登錄說明
結論
Microsoft ISA Server 2000 和 Microsoft Proxy Server 2.0 會受到 Microsoft 安全性公告 MS04-039 中所描述的安全性弱點影響。在這種情況下,ISA Server 2000 Service Pack 1 (SP1)、ISA Server 2000 Service Pack 2 (SP2) 或 Proxy Server 2.0 Service Pack 1 (SP1) 中的 DNS 快取區可能會遭受詐騙。

如需有關這項弱點的說明,請參閱 Microsoft 安全性公告 MS04-039。此外,用來解決這個問題的安全性更新程式,其下載連結亦收錄在這份 Microsoft 安全性公告中。在您能夠安裝安全性更新程式之前,您可以先依照本文中的指示,保護自己的系統免於受到這個問題的影響。

簡介
本文將告訴您,如何解決 Microsoft 安全性公告 MS04-039 中所描述的 DNS 快取區弱點:
其他相關資訊
根據 Microsoft 安全性公告 MS04-039 中的說明,惡意使用者可能會利用一項弱點,透過受信任的網際網路內容進行詐騙。 在這種情況下,當使用者在造訪一個為了達成不良目的而建立的網站時,可能會誤以為自己正在造訪的是一個受信任的網站。 為了利用這項弱點,攻擊者會先說服使用者檢視具有惡意的內容,或是按一下連往惡意內容的連結。

如果要解決這個問題,請安裝 Microsoft 安全性公告 MS04-039 中所描述的安全性更新程式。

如果要解決這個問題,請使用下列方法之一。

針對安裝在某個陣列中的 Microsoft ISA Server 2000 Enterprise Edition

警告 如果您使用 ADSI Edit 嵌入式管理單元、LDP 公用程式,或任何其他 LDAP 第 3 版用戶端,然後不正確地修改了 Active Directory 物件的屬性,則可能會造成嚴重的問題。這些問題可能會導致您必須重新安裝 Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server、Microsoft Exchange Server 2003,或是必須重新安裝 Windows 和 Exchange。Microsoft 並不保證可以解決您不當修改 Active Directory 物件屬性所導致的問題。請自行承擔修改這些屬性的一切風險。

如果要為某個企業陣列中的 ISA Server 2000 Service Pack 1 (SP1) 或 ISA Server 2000 Service Pack 2 (SP2) 解決這個問題,請執行下列步驟:
  1. 啟動 LDP 工具。如果要執行這項操作,請按一下 [開始],再按一下 [執行],然後輸入 ldp.exe,再按一下 [確定]

    注意 Ldp.exe 收錄在「Microsoft Windows 支援工具」中。如果要在 Windows 2000 中安裝 Windows 支援工具,請在 Windows 2000 光碟片的 Support\Tools 資料夾中,按兩下 Setup.exe。如果要在 Windows Server 2003 中安裝 Windows 支援工具,請在 Windows Server 2003 光碟片的 Support\Tools 資料夾中,按兩下 [Supptools.msi]
  2. 連上 Active Directory 目錄服務。如果要執行這項操作,請依照下列步驟執行:
    1. [Connection] 功能表中,按一下 [Connect],將 [Server] 方塊保持空白,再按一下 [OK]
    2. 按一下 [Connection] 功能表中的 [Bind]
    3. [User] 方塊中,輸入某個使用者帳戶的名稱。這個使用者帳戶必須在 Active Directory 中具備 ISA Server 物件的寫入權限。在一般情況下,這會是一個網域管理員的帳戶。
    4. [Password] 方塊中,輸入這個使用者帳戶的密碼。
    5. [Domain] 方塊中,輸入這部 ISA Server 電腦所在的網域,然後按一下 [OK]
    6. 確認右窗格中出現了下列訊息:
      Authenticated as dn:'UserName'.


      注意 如果右窗格中沒有出現這道訊息,代替您尚未通過驗證。除非您已成功地在 Active Directory 中通過驗證,否則您將無法繼續執行下列步驟。
  3. 存取 Active Directory 樹狀目錄。如果要執行這項操作,請依照下列步驟執行:
    1. [View] 功能表上,按一下 [Tree],再按一下 [OK]
    2. 在左窗格中,將 [DC=example,DC=com] 展開,其中 example.com 即為您網域的名稱。
    3. 按兩下 [CN=System,DC=example,DC=com],將這個物件展開。
    4. 按兩下 [CN=Fpc,CN=System,DC=example,DC=com],將這個物件展開。
    5. 按兩下 [CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com],將這個物件展開。
  4. 存取各個陣列原則物件。如果要執行這項操作,請依照下列步驟執行:
    1. 在每個陣列物件的下方,按兩下 [CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com],將該物件展開。

      ArrayGUID 取代為出現在 Arrays 物件下方的某個 GUID。這個 GUID 具有以下形式:
      {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
    2. 按兩下 [CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com],將這個物件展開。
  5. 修改防火牆服務的 DNS 快取區大小。如果要執行這項操作,請依照下列步驟執行:
    1. [CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com] 的下方,用右鍵按一下 [CN=Proxy-WSP,CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com],然後按一下 [Modify]
    2. 保留 [Dn] 方塊中的預設值,並於 [Attribute] 方塊中輸入 msFPCDnsCacheSize,然後在 [Values] 方塊中輸入 0
    3. 按一下 [Operation] 下方的 [Replace],再按一下 [Enter],然後按一下 [Run]
    如果操作成功的話,右窗格中將會出現類似這樣的資訊:
    ***Call Modify... ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com',[1] attrs); Modified 
  6. 修改 Web Proxy 服務的 DNS 快取區大小。如果要執行這項操作,請依照步驟 5 中的指示進行。然而,請在這道步驟中將所有的 CN=Proxy-WSP 實例取代為 CN=WebProxy。
  7. 請依照步驟 4 至 6 進行,以分別修改出現在 [CN=Arrays] 物件下方的每一個 [CN=ArrayGUID] 物件之防火牆服務和 Web Proxy 服務的 DNS 快取區大小。
  8. 結束 LDP。
  9. 重新啟動您企業內部的 ISA Server 服務。如果要執行這項操作,請依照下列步驟執行:
    1. 啟動 ISA Management 工具。如果要執行這項操作,請按一下 [開始],將指標指向 [程式集],再指向 [Microsoft ISA Server],然後按一下 [ISA Management]
    2. 依序展開 [Servers and Arrays]、您的陣列、[Monitoring],然後按一下 [Services]
    3. 用右鍵按一下 ISA Server 的 Web Proxy 服務,然後按一下 [Stop]
    4. 當服務已經順利停止時,請用右鍵按一下相同的服務,然後按一下 [Start]
    5. 用右鍵按一下 ISA Server 的防火牆服務,然後按一下 [Stop]
    6. 當服務已經順利停止時,請用右鍵按一下相同的服務,然後按一下 [Start]
    7. 請依照步驟 c 至 f 進行,在您的陣列中重新啟動所有 ISA 伺服器的服務。
    8. 請依照步驟 b 至 g 進行,在您的其他陣列中重新啟動所有 ISA 伺服器的服務。
  10. 結束 ISA Management Microsoft Management Console (MMC) 嵌入式管理單元。

針對獨立模式下的 Microsoft ISA Server 2000 Standard Edition 或 ISA Server 2000 Enterprise Edition

警告 不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 並不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的一切風險。

如果要為執行 ISA Server 2000 Standard Edition (SP1) 或 ISA Server 2000 Standard Edition SP2 的電腦解決這個問題,請執行下列步驟:
  1. 啟動「登錄編輯程式」。如果要執行這項操作,請按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<ArrayGUID>\ArrayPolicy
    ArrayGUID 取代為出現在 Arrays 登錄子機碼下方的 GUID。這個 GUID 具有以下形式:
    {88F55145-3365-4D10-8DE5-FD433537CFC6}
  3. 將 Web Proxy 服務之 DNS 快取區大小的值變更為 0。如果要執行這項操作,請依照下列步驟執行:
    1. 按一下 [ArrayPolicy] 下方的 [WebProxy]
    2. 在右窗格中,用滑鼠右鍵按一下 [msFPCDnsCacheSize],再按一下 [修改]
    3. [數值資料] 方塊中,輸入 0,再按一下 [確定]
  4. 將防火牆服務之 DNS 快取區大小的值變更為 0。如果要執行這項操作,請依照下列步驟執行:
    1. 按一下 [ArrayPolicy] 下方的 [Proxy-WSP]
    2. 在右窗格中,用滑鼠右鍵按一下 [msFPCDnsCacheSize],再按一下 [修改]
    3. [數值資料] 方塊中,輸入 0,再按一下 [確定]
  5. 結束「登錄編輯程式」。
  6. 啟動 ISA Management 工具。如果要執行這項操作,請按一下 [開始],將指標指向 [程式集],再指向 [Microsoft ISA Server],然後按一下 [ISA Management]
  7. 依序展開 [Servers and Arrays]、您的伺服器、[Monitoring],然後按一下 [Services]
  8. 按一下 [View] 功能表上的 [Advanced]
  9. 用右鍵按一下 Web Proxy 服務,然後按一下 [Stop]
  10. 當服務已經順利停止時,請用右鍵按一下相同的服務,然後按一下 [Start]
  11. 用右鍵按一下防火牆服務,再按一下 [Stop]
  12. 當服務已經順利停止時,請用右鍵按一下相同的服務,然後按一下 [Start]

針對 Microsoft Proxy Server 2.0

警告 不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 並不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的一切風險。

如果要為執行 Microsoft Proxy Server 2.0 Service Pack 1 (SP1) 的電腦解決這個問題,請執行下列步驟:
  1. 啟動「登錄編輯程式」。如果要執行這項操作,請按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
  3. 將 Web Proxy 服務之 DNS 快取區大小的值變更為 0。如果要執行這項操作,請依照下列步驟執行:
    1. 在右窗格中,用滑鼠右鍵按一下 [DnsCacheSize],再按一下 [修改]
    2. [數值資料] 方塊中,輸入 0,再按一下 [確定]
  4. 結束「登錄編輯程式」。
  5. 啟動 Proxy 管理工具。如果要執行這項操作,請按一下 [開始],將指標依序指向 [程式集][Microsoft Proxy Server],然後按一下 [Microsoft Management Console]
  6. 找出執行 Proxy Server 2.0 SP1 的電腦,並展開其節點。
  7. 按一下 [Winsock proxy],然後按一下 [Action] 功能表中的 [Stop]
  8. 當服務已經順利停止時,請按一下 [Action] 功能表中的 [Start]
  9. 按一下 [Web Proxy],然後按一下 [Action] 功能表中的 [Stop]
  10. 當服務已經順利停止時,請按一下 [Action] 功能表中的 [Start]
注意 您可以前往 Microsoft 網站取得一段指令碼,以自動執行本文中所描述的步驟。這段指令碼是針對 ISA Server 2000 和 Proxy Server 2.0 所設計的。Microsoft ISA Server 2004 並不會受到這項弱點的影響,而且這段指令碼也不是針對 ISA Server 2004 所設計的。如果要取得這段指令碼,請造訪下列 Microsoft 網站:

如果要清除 ISA Server 2000 Web Proxy 的快取區,請使用 Clrcache.cmd 工具。如果要取得這項工具,請造訪下列網站: Microsoft 提供協力廠商的聯絡資訊,以協助您找出技術支援。此聯絡資訊若有變更,恕不另行通知。Microsoft 不保證此協力廠商聯絡資訊的準確性。

如需有關如何在 Proxy Server 2.0 中清除 Web proxy 快取區的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
811086 How to clear the cache in Microsoft Proxy Server 2.0


如需有關 Proxy Server 2.0 產品支援生命週期的詳細資訊,請造訪下列 Microsoft 網站:
Firewall, security, vulnerability, hole, poison, cache,
內容

文章識別碼:889189 - 最後檢閱時間:12/09/2015 01:53:17 - 修訂: 3.1

Microsoft Internet Security and Acceleration Server 2000 Service Pack 1, Microsoft Small Business Server 2000 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Proxy Server 2.0 Standard Edition, Microsoft Internet Security and Acceleration Server 2000 Service Pack 2

  • kbnosurvey kbarchive kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189
意見反應