• Artykuł

Porady dotyczące zabezpieczeń

Porady dotyczące zabezpieczeń firmy Microsoft 971888

Aktualizacja dla decentralizacji DNS

Opublikowano: 9 czerwca 2009 r.

Wersja: 1.0

Firma Microsoft ogłasza dostępność aktualizacji do decentralizacji DNS, która może pomóc klientom w zachowaniu ochrony swoich systemów. Klienci, których nazwa domeny ma co najmniej trzy etykiety, takie jak "contoso.co.us", lub którzy nie mają skonfigurowanej listy sufiksów DNS lub dla których następujące czynniki korygujące nie mają zastosowania, mogą przypadkowo zezwalać systemom klienckim traktować systemy poza granicą organizacyjną, tak jakby były wewnętrzne dla granic organizacji.

Czynniki korygujące:

  • Klienci, którzy są przyłączeni do domeny i mają listę wyszukiwania sufiksów DNS skonfigurowaną w systemie, nie są narażeni na nieumyślne traktowanie systemów zewnętrznych tak, jakby były wewnętrzne. Firma Microsoft zachęca wszystkich klientów korporacyjnych do ustawiania list wyszukiwania sufiksów DNS w systemach klienckich w celu zapewnienia, że wszystkie zapytania DNS pozostają w granicach organizacji.
  • W większości przypadków użytkownicy domowi, którzy nie są członkami domeny, nie korzystają z decentralizacji DNS i dlatego nie są narażeni na to ryzyko. Użytkownicy domowi, którzy nie są członkami domeny, ale skonfigurowali podstawowy sufiks DNS, jednak używają decentralizacji DNS i są narażeni na nieumyślne traktowanie systemów zewnętrznych tak, jakby były wewnętrzne.
  • Klienci, których nazwa domeny DNS składa się z dwóch etykiet, nie są narażeni na to ryzyko. Przykładem klienta, którego nie dotyczy problem, jest contoso.com lub fabrikam.gov, gdzie "contoso" i "fabrikam" to nazwy domen zarejestrowanych przez klienta w odpowiednich domenach najwyższego poziomu ".com" i ".gov".

Informacje ogólne

Omówienie

Cel poradnika: aby zapewnić wyjaśnienie i powiadomienie o dostępności aktualizacji niezwiązanej z zabezpieczeniami, które mogą pomóc klientom w zachowaniu ochrony swoich systemów.

Stan porad: Artykuł z bazy wiedzy Microsoft Knowledge Base i skojarzone aktualizacje zostały wydane.

Zalecenie: Przejrzyj przywołyną bazę wiedzy i zastosuj odpowiednie aktualizacje.

Informacje Identyfikator
Artykuł z bazy wiedzy Microsoft Knowledge Base 957579

W tym poradniku omówiono następujące oprogramowanie.

Oprogramowanie, którego dotyczy problem
Microsoft Windows 2000 z dodatkiem Service Pack 4
Windows XP z dodatkiem Service Pack 2 i Windows XP z dodatkiem Service Pack 3
Windows XP Professional x64 Edition z dodatkiem Service Pack 2
Windows Server 2003 z dodatkiem Service Pack 2
Windows Server 2003 x64 Edition z dodatkiem Service Pack 2
Windows Server 2003 z dodatkiem SP2 dla systemów opartych na itanium
Windows Vista, Windows Vista z dodatkiem Service Pack 1 i Windows Vista z dodatkiem Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition z dodatkiem Service Pack 1 i Windows Vista x64 Edition z dodatkiem Service Pack 2
Windows Server 2008 dla systemów 32-bitowych i Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2

Często zadawane pytania

Jaki jest zakres porad?
Ten poradnik zawiera powiadomienie o dostępności aktualizacji, które pomagają zdefiniować granicę organizacyjną dla systemów, które są przyłączone do domeny, ale nie mają skonfigurowanej listy sufiksów DNS. Aktualizacje są dostępne dla oprogramowania wymienionego wSekcja Przegląd.

Co to jest domena najwyższego poziomu (TLD)?
Domena najwyższego poziomu (TLD) jest ostatnią częścią nazwy domeny internetowej. Są to litery, które są zgodne z końcową kropką dowolnej nazwy domeny. Na przykład w nazwie domeny wpad.western.corp.contoso.co.us TLD to ".us". TlD mogą być podzielone głównie na dwa typy: kod kraju i ogólny. Identyfikatory TLD kodu kraju to dwuliterowe skróty dla każdego kraju. W tym przykładzie plik .us jest przeznaczony dla Stany Zjednoczone. Ogólne TLD są bardziej tradycyjnie rozpoznawalne trzy (lub większe) skróty liter, takie jak .com, .net, .org itp. Aby uzyskać pełną listę wszystkich dostępnych tlD, zapoznaj się z poniższą listą w usłudze IANA.

Co to jest podstawowy sufiks DNS (PDS)?
Jest to nazwa domeny dołączona po prawej stronie nazwy hosta z jedną etykietą komputera. W pełni kwalifikowana nazwa domeny (FQDN) może być zdefiniowana jako <nazwa> hosta.<sufiks> podstawowej usługi DNS. Domyślnie podstawowa część sufiksu DNS nazwy FQDN komputera jest taka sama jak nazwa domeny usługi Active Directory, do której jest przyłączony komputer. Jednak pdS komputera może być inny niż domena DNS, do której jest przyłączony po skonfigurowaniu za pośrednictwem okna dialogowego Właściwości z mojego komputera.

Co to jest domena drugiego poziomu (SLD)?
Domena drugiego poziomu (SLD) to domena znajdująca się bezpośrednio "poniżej" lub po lewej stronie tlD. W poprzednim przykładzie wpad.western.corp.contoso.co.us, SLD to ".co". Najczęstszą rejestracją SLD jest kod TLD w kraju. Stany Zjednoczone używa głównie SLD do rejestracji stanu USA, takiej jak ".co.us" dla stanu Kolorado na przykład. SlD innych niż USA często używać wspólnych nazw TLD, takich jak ".com.sg".

Co robi funkcja decentralizacji DNS?
Devolution to funkcja klienta DNS systemu Windows. Decentralizacja to proces, za pomocą którego klienci DNS systemu Windows rozwiązują zapytania DNS dla niekwalifikowanych nazw hostów o pojedynczej etykiecie. Zapytania są tworzone przez dołączenie pdS do nazwy hosta. Zapytanie jest ponawiane przez systematyczne usuwanie lewej etykiety w systemie PDS do momentu rozpoznania nazwy hosta i pozostałych plików PDS lub tylko dwie etykiety pozostają w pozbawionym pdS. Na przykład klienci systemu Windows, którzy szukają "pojedynczej etykiety" w domenie western.corp.contoso.co.us będą stopniowo wysyłać zapytania dotyczące Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us, a następnie Single-label.co.us do momentu znalezienia systemu, który rozwiąże problem. Ten proces jest określany jako decentralizacja. Aby uzyskać dodatkowe informacje na temat usługi klienta DNS i decentralizacji, zobacz sekcję Rozpoznawanie nazw dla pojedynczej etykiety, niekwalifikowanych nazw domen w artykule TechNet, TCP/IP Fundamentals for Windows, Rozdział 9 — Obsługa systemu Windows dla systemu DNS.

Co powoduje to ryzyko?
Złośliwy użytkownik może hostować system o nazwie z jedną etykietą poza granicą organizacji i z powodu decentralizacji DNS może pomyślnie uzyskać klienta DNS systemu Windows, aby nawiązać z nim połączenie tak, jakby było wewnętrzne z granicą organizacyjną. Jeśli na przykład sufiks DNS przedsiębiorstwa jest corp.contoso.co.us i podjęto próbę rozpoznania niekwalifikowanej nazwy hosta "Single-Label", program rozpoznawania nazw DNS spróbuje Single-Label.corp.contoso.co.us. Jeśli to nie zostanie znalezione, spróbuje rozwiązać Single-label.contoso.co.us za pośrednictwem decentralizacji DNS. Jeśli to nie zostanie znalezione, spróbuje rozwiązać problem Single-label.co.us, który znajduje się poza domeną contoso.co.us.

Jakie są konsekwencje dla zapytań wychodzących poza granicę organizacyjną?
Implikacje różnią się w zależności od zapytania uciekającego przed granicą organizacji.

Wszystkie zapytania uwidaczniałyby wewnętrzne adresy IP. Klienci sieciowi mogą wymieniać poświadczenia ze złośliwym serwerem. W przypadku, gdy zapytanie dotyczy serwera WPAD, złośliwy serwer proxy może być ustawiony na maszynach klienckich.

Czy ta aktualizacja zmienia moje bieżące zachowanie decentralizacji DNS?
Tak. Aktualizacja sprawdza, jaka jest domena klienta systemu Windows i ogranicza zapytania DNS do tej domeny. Aby uzyskać więcej informacji i przykłady zmiany zachowania decentralizacji DNS, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 957579.

Czy po zainstalowaniu tej aktualizacji nastąpiła zmiana środowiska użytkownika?
Tak. Po zainstalowaniu aktualizacji program rozpoznawania nazw DNS będzie wykonywać tylko decentralizację na poziomie na podstawie ustawień domeny klienta systemu Windows, potencjalnie powodując przerwanie wszelkich aplikacji lub konfiguracji, które opierają się na tym zachowaniu. Aby uzyskać więcej informacji na temat zmiany zachowania decentralizacji DNS, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 957579.

Jest to biuletyn zabezpieczeń dotyczący aktualizacji niezwiązanej z zabezpieczeniami. Czy to nie jest sprzeczność?
Biuletyny zabezpieczeń dotyczą zmian zabezpieczeń, które mogą nie wymagać biuletynu zabezpieczeń, ale nadal mogą mieć wpływ na ogólne zabezpieczenia klienta. Biuletyny zabezpieczeń to sposób, aby firma Microsoft komunikowała klientom informacje dotyczące zabezpieczeń dotyczące problemów, które mogą nie być klasyfikowane jako luki w zabezpieczeniach i mogą nie wymagać biuletynu zabezpieczeń lub problemów, dla których nie wydano biuletynu zabezpieczeń. W takim przypadku komunikujemy dostępność aktualizacji, która ma wpływ na możliwość wykonywania kolejnych aktualizacji, w tym aktualizacji zabezpieczeń. W związku z tym ten poradnik nie dotyczy określonej luki w zabezpieczeniach; zamiast tego zajmuje się ogólnymi zabezpieczeniami.

W jaki sposób ta aktualizacja jest oferowana?
Te aktualizacje są dostępne w Centrum pobierania Microsoft. Bezpośrednie linki do aktualizacji określonego oprogramowania, którego dotyczy problem, są wymienione w tabeli Oprogramowania, którego dotyczy problem, w sekcji Przegląd . Aby uzyskać więcej informacji na temat aktualizacji i zmian zachowania, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 957579.

Czy ta aktualizacja jest dystrybuowana w przypadku aktualizacji automatycznej?
L.p. Te aktualizacje nie są dystrybuowane za pośrednictwem mechanizmu automatycznej aktualizacji. Aktualizacje są dostępne tylko w Centrum pobierania Microsoft. Bezpośrednie linki do aktualizacji określonego oprogramowania, którego dotyczy problem, są wymienione w tabeli Oprogramowania, którego dotyczy problem, w sekcji Przegląd .

Dlaczego nie jest to aktualizacja zabezpieczeń ogłoszona w biuletynie zabezpieczeń?
Jest to problem z konfiguracją. Decentralizacja DNS działa zgodnie z oczekiwaniami, a niektórzy klienci mogą zależeć od decentralizacji DNS, aby legalnie uzyskać dostęp do zasobów poza ich granicę organizacyjną i traktować ich jako zasoby wewnętrzne.

Dlaczego ta aktualizacja jest oferowana w biuletynie zabezpieczeń?
Klienci mogą nie wiedzieć, że klienci systemu Windows w swoim środowisku korzystają z decentralizacji. Decentralizacja może umożliwić klientom traktowanie systemów poza granicą jako zasobów wewnętrznych, dzięki czemu mogą zrezygnować z poświadczeń lub ujawnić się lukom w zabezpieczeniach typu ujawniania informacji.

Sugerowane akcje

Obejścia

Firma Microsoft przetestowała następujące obejścia. Chociaż te obejścia nie poprawią bazowego ryzyka, pomagają blokować znane wektory ataków. Jeśli obejście zmniejsza funkcjonalność, zostanie zidentyfikowana w poniższej sekcji.

Wyłączanie decentralizacji DNS

Aby wyłączyć automatyczną decentralizację DNS, zapisz następujące polecenie w pliku za pomocą polecenia . Rozszerzenie REG, a następnie uruchom regedit.exe /s <nazwy pliku> z wiersza polecenia z podwyższonym poziomem uprawnień lub administracyjnego wiersza polecenia:

Uwaga Zapoznaj się z artykułem TechNet UseDomainNameDevolution, aby uzyskać więcej informacji na temat wartości rejestru UseDomainNameDevolution.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000

Aby zmiany zaczęły obowiązywać, należy zatrzymać i ponownie uruchomić usługę klienta DNS. Można to zrobić z poziomu wiersza polecenia z podwyższonym poziomem uprawnień lub administracyjnego przy użyciu następującego polecenia:

net stop dnscache & net start dnscache

Wpływ obejścia: program rozpoznawania nazw DNS nie będzie wykonywać decentralizacji, potencjalnie powodując niezgodność żadnych aplikacji lub konfiguracji, które opierają się na tym zachowaniu. To ustawienie nie ma wpływu na aplikacje, które wykonują własną formę decentralizacji.

Konfigurowanie listy wyszukiwania sufiksów domeny

Aby utworzyć listę wyszukiwania sufiksów domeny, zapisz następujące polecenie w pliku za pomocą elementu . Rozszerzenie REG, a następnie uruchom regedit.exe /s <nazwy pliku> z wiersza polecenia z podwyższonym poziomem uprawnień lub administracyjnego wiersza polecenia:

Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific="specific" search="search" list="list">

Uwaga System Windows Server 2003 obejmuje możliwość dystrybucji listy wyszukiwania sufiksów domeny za pośrednictwem zasad grupy. Aby uzyskać więcej informacji, zobacz Microsoft Knowledge Base 294785 w sekcji Lista wyszukiwania sufiksów DNS.

Wpływ obejścia: jeśli lista wyszukiwania sufiksów domeny jest skonfigurowana w systemach klienckich, tylko ta lista sufiksów jest używana w zapytaniach DNS. Podstawowy sufiks DNS i wszelkie sufiksy DNS specyficzne dla połączenia nie są używane. Program rozpoznawania nazw DNS nie będzie wykonywać decentralizacji, potencjalnie powodując niezgodność żadnych aplikacji lub konfiguracji, które opierają się na tym zachowaniu.

Inne informacje

Zasoby:

  • Możesz przekazać opinię, wypełniając formularz, odwiedzając następującą witrynę sieci Web.
  • Klienci w Stany Zjednoczone i Kanadzie mogą otrzymywać pomoc techniczną od działu pomocy technicznej ds. zabezpieczeń. Aby uzyskać więcej informacji na temat dostępnych opcji pomocy technicznej, zobacz witrynę sieci Web Pomocy i obsługi technicznej firmy Microsoft.
  • Klienci międzynarodowi mogą otrzymywać pomoc techniczną od swoich lokalnych spółek zależnych firmy Microsoft. Aby uzyskać więcej informacji na temat kontaktowania się z firmą Microsoft w celu uzyskania międzynarodowych problemów z pomocą techniczną, odwiedź witrynę internetową pomocy technicznej międzynarodowej.
  • Witryna sieci Web Microsoft TechNet Security zawiera dodatkowe informacje na temat zabezpieczeń w produktach firmy Microsoft.

Zrzeczenie odpowiedzialności:

Informacje podane w tym poradniku są dostarczane "tak, jak jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.

Zmiany:

  • Wersja 1.0 (9 czerwca 2009 r.): Biuletyn został opublikowany.

Zbudowany pod adresem 2014-04-18T13:49:36Z-07:00