Notice: This website is an unofficial Microsoft Knowledge Base (hereinafter KB) archive and is intended to provide a reliable access to deleted content from Microsoft KB. All KB articles are owned by Microsoft Corporation. Read full disclaimer for more details.

XADM : D�faillances et vuln�rabilit� de la s�curit� du programme d'installation d'Exchange 2000


View products that this article applies to.

Sympt�mes

Lorsque vous installez Microsoft Exchange 2000 Server ou Exchange 2000 Enterprise Server (appel�s collectivement ci-apr�s Exchange 2000), il se cr�� un compte sp�cial, qui �tait utilis� auparavant pour faciliter le traitement des scripts de synchronisation. Le nom de ce compte est EUSER_EXSTOREEVENT, et son mot de passe est d�fini comme un mot de passe simple incorpor� au programme. Si vous tentez de d�ployer Exchange 2000 dans des environnements pr�sentant des exigences de mot de passe complexes, des d�faillances peuvent survenir pendant l'installation, le message d'erreur suivant apparaissant alors :
[14:22:18] mauvais index de membre -1 CAtomBaseMDB::ScCreateStoreEventAccount (K:\admin\src\udog\exsetdata\components\server\a_basemdb.cxx:290) Code d'erreur 0XC00703E5 (997): Une op�ration d'entr�e/sortie avec chevauchement est en cours d'ex�cution.

↑ Back to the top


Cause

La d�faillance du programme d'installation se produit parce que le mot de passe incorpor� au programme ne r�pond pas aux exigences de complexit� du mot de passe dans certains environnements. Cette d�faillance appara�t lorsque vous tentez d'installer une version concern�e d'Exchange 2000 (voir la section " Statut " pour obtenir des d�tails sur la version) sur un contr�leur de domaine ou sur un serveur membre ayant une forte politique de mot de passe activ�e.

↑ Back to the top


R�solution

Avant d'ex�cuter le programme d'installation

Pour r�duire au maximum les risques s�curitaires inh�rents � ce compte, cr�ez manuellement un compte utilisant le m�me nom, EUSER_EXSTOREEVENT, avant d'ex�cuter le programme d'installation, et attribuez-lui un mot de passe r�pondant aux exigences de complexit� propres � votre soci�t�. Pendant son ex�cution, le programme d'installation d�tectera que ce compte existe d�j� et ne tentera pas de le cr�er ou de modifier le mot de passe.

En cas d'installation d'Exchange 2000 sur un serveur membre

Cr�ez le compte en tant que compte d'utilisateur local d�sactiv�. La proc�dure de cr�ation d'un compte dans la base de donn�es des comptes locaux est la suivante :
  1. Pour d�marrer le composant logiciel enfichable Computer Management MMC, cliquez sur D�marrer, pointez sur Programmes et sur Outils d'administration, puis cliquez sur Gestion de l'ordinateur sur le serveur membre o� Exchange 2000 sera install�.
  2. D�veloppez le conteneur Utilisateurs et groupes locaux, puis cliquez sur le conteneur Utilisateurs.
  3. Dans le menu Action, cliquez sur Nouvel utilisateur.
  4. Dans la bo�te de dialogue Nouvel utilisateur, fournissez les informations suivantes :
    Nom d'utilisateur : EUSER_EXSTOREEVENT
    Mot de passe : Mot de passe r�pondant � la politique de complexit� de votre soci�t�
  5. Cliquez pour s�lectionner la case � cocher Le compte est d�sactiv�, puis cliquez sur Cr�er.

En cas d'installation d'Exchange 2000 sur un contr�leur de domaine

Cr�ez le compte EUSER_EXSTOREEVENT dans Active Directory, puis d�sactivez le compte. La proc�dure de cr�ation d'un compte dans Active Directory est la suivante :
  1. Pour d�marrer le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory MMC, cliquez sur D�marrer, pointez sur Programmes et sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory sur le contr�leur du domaine dans lequel Exchange 2000 sera install�.
  2. Cliquez sur le conteneur Utilisateurs.
  3. Dans le menu Action, cliquez sur Nouveau puis sur Utilisateur.
  4. Dans la bo�te de dialogue Nouvel utilisateur, fournissez les informations suivantes :
    Nom complet : EUSER_EXSTOREEVENT
    Nom d'ouverture de session de l'utilisateur : EUSER_EXSTOREEVENT
  5. Cliquez sur Suivant.
  6. Indiquez un mot de passe r�pondant � la politique de complexit� propre � votre soci�t�, puis confirmez-le.
  7. Cliquez pour s�lectionner la case � cocher Le compte est d�sactiv�.
  8. Cliquez sur Suivant, puis sur Terminer pour cr�er le compte sp�cifi�.

Apr�s l'installation

Proc�dure manuelle

Apr�s l'installation d'Exchange 2000, Microsoft vous recommande de supprimer ce compte pour r�duire au maximum les risques s�curitaires inh�rents au compte connu. Si vous utilisez ce compte pour d'autres raisons, vous devez au moins r�initialiser le mot de passe du compte pour garantir la s�curit� de ce dernier.

Outil d'automatisation de la proc�dure

Parall�lement � la proc�dure d�crite ci-dessus, vous pouvez vous procurer l'outil suivant � partir du lien suivant, afin de corriger automatiquement ce probl�me de vuln�rabilit� de la s�curit� : Le fichier suivant peut �tre t�l�charg� � partir du Centre de t�l�chargement Microsoft. Cliquez sur le nom du fichier ci-dessous pour t�l�charger le fichier :
Pour plus d'informations sur le t�l�chargement de fichiers � partir du Centre de t�l�chargement Microsoft, visitez le Centre � l'adresse Web suivante et cliquez sur Utilisation du Centre de t�l�chargement Microsoft.
  • Avec cet outil, l'utilisateur actuellement connect� doit disposer de droits d'administrateur sur l'ordinateur local pour les serveurs membres, ou de droits d'administrateur de domaine pour les contr�leurs de domaine. Cet outil est extrait et copi� automatiquement dans le dossier C:\Temp. Apr�s son extraction, suivez les consignes fournies.
  • Pour les serveurs membres : Cet outil explore la base de donn�es des comptes locaux, et supprime le compte en question. Microsoft vous recommande d'ex�cuter l'utilitaire � partir de chaque serveur membre sur lequel Exchange 2000 a �t� install�.
  • Pour un contr�leur de domaine o� Exchange 2000 est install� : Ex�cutez cet utilitaire sur un contr�leur de domaine. Il supprime le compte d'Active Directory. Dans les environnements comportant plusieurs contr�leurs de domaine, ce compte peut �tre maintenu sur les autres contr�leurs de domaine jusqu'� la r�plication d'Active Directory.
IMPORTANT : Cet outil supprime uniquement le compte en question. Il n'emp�che pas l'erreur d'installation initiale d'appara�tre. Vous devez toujours suivre la proc�dure manuelle de cr�ation et de d�sactivation du compte avant d'ex�cuter le programme d'installation, afin d'�viter l'erreur d'installation. Apr�s l'installation, vous pouvez supprimer ce compte manuellement ou � l'aide de l'outil fourni.

↑ Back to the top


Statut

Microsoft a confirm� l'existence de ce probl�me dans Exchange 2000.

Les m�dia d'installation d'Exchange 2000 suivants sont concern�s par cette vuln�rabilit� :
  • Les CD Exchange 2000 Server ne portant pas la mention " Rev A " sur la ligne situ�e en dessous du num�ro de r�f�rence (voir coin sup�rieur droit)
  • Les CD Exchange 2000 Enterprise Server ne portant pas la mention " Rev A " sur la ligne situ�e en dessous du num�ro de r�f�rence (voir coin sup�rieur droit)
  • Exchange 2000 Server et Exchange 2000 Enterprise Server inclus dans le coffret Select CD d'octobre 2000
Pour l'�dition �valuation d'Exchange 2000, et comme autre m�thode de test de cette vuln�rabilit�, veuillez recourir � l'outil Filever.exe, disponible avec Exchange 2000, afin de v�rifier la version d'Exsetdata.dll. Si cette derni�re est 6.0.4417.5, cette vuln�rabilit� vous concerne.

Exemple d'utilisation de Filever.exe :
Lecteur de CD\Support\Utils\I386>filever \setup\i386\exsetdata.dll
Si le r�sultat affich� contient le num�ro de version suivant (en gras ci-dessous), cette vuln�rabilit� vous concerne :
-r--- W321 DLL ENU 6.0.4417.5 shp 2,507,024 08-16-2000 exsetdata.dll
En outre, Exchange 2000 Service Pack 1 comporte une v�rification suppl�mentaire de la pr�sence de ce compte, qui, s'il est d�tect�, sera supprim�.

↑ Back to the top


Plus d'informations

Ce compte repr�sente une vuln�rabilit� de la s�curit� si vous d�ployez Exchange 2000, car son nom est connu. Dans la version commercialis�e d'Exchange 2000, ce compte n'est plus n�cessaire pour traiter les scripts d'�v�nement et doit �tre supprim� apr�s l'installation.

Vous pouvez consulter les questions fr�quentes (" FAQ ") concernant cette vuln�rabilit� et vous procurer la correction appropri�e sur le site Web Microsoft suivant :

↑ Back to the top


Propri�t�s

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

↑ Back to the top


Keywords: KB278523, kbnofix, kbbug

↑ Back to the top

Article Info
Article ID : 278523
Revision : 2
Created on : 7/18/2007
Published on : 7/18/2007
Exists online : False
Views : 466