Alterações ao comportamento do servidor WINS depois de instalar a actualização de segurança para o servidor WINS

Comportamento pós-instalação dos computadores servidores depois de instalar a actualização de segurança do servidor WINS

O objectivo deste artigo da Base de Dados de Conhecimento é informar os utilizadores de cenários afectados por uma alteração iminente na funcionalidade do servidor WINS. Fizemos por tornar este documento o mais genérico possível. Leia este documento na sua totalidade e utilize-o para perceber se esta actualização pode afectar o ambiente empresarial e de que modo isso pode acontecer.

Para mais informações sobre a actualização de segurança do servidor WINS, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:

Tabela de definições

Descrição geral do problema de segurança

Um problema de concepção que afecta o software cliente configurado para utilizar a Detecção Automática de Web Proxy (WPAD) pode contactar um anfitrião que funcione como servidor de um ficheiro de configuração automática do proxy (Wpad.dat). Um cliente configurado com WPAD pode procurar um anfitrião resolvendo o nome WPAD para determinar se o nome WPAD corresponde a uma entrada no WINS. O registo malicioso de uma entrada WPAD dentro de uma rede empresarial pode permitir que um atacante controle a configuração do Internet Explorer. A utilização do nome ISATAP possibilita o mesmo tipo de ataque.

Existem medidas para resolver o problema de segurança. Por exemplo, pode registar uma entrada de anfitrião com nome reservado na base de dados do WINS. O administrador terá de registar o nome de anfitrião sem registar um endereço de IP, reservando assim a entrada de anfitrião do nome.

Alterações ao WINS depois de aplicar a actualização de segurança

O WINS será objecto das seguintes alterações depois de aplicar a actualização de segurança do WINS:

• A actualização de segurança criará automaticamente uma lista de bloqueio que será utilizada pelo WINS. Qualquer pedido de consulta de nome será verificado na lista de bloqueio e será enviada uma resposta vazia às consultas de nome na lista de bloqueio.
• Por predefinição, a lista de bloqueio contém WPAD, "WPAD." e ISATAP.
• Se a base de dados do WINS já tiver alguma destas entradas, essa entrada não constará da lista de bloqueio.
• O administrador pode configurar e editar a lista de bloqueio no registo. Será necessário reiniciar o serviço WINS para que a lista de bloqueio tenha efeito.
• A lista de bloqueio é armazenada no registo para cada servidor. Não há replicação de entradas da lista de bloqueio nos múltiplos servidores.
• A lista de bloqueio criada para DNS é distinta desta lista de bloqueio.

Perguntas mais frequentes

1. O que acontece se adicionar entradas estáticas para WPAD, "WPAD." e ISATAP no WINS?
   Resposta: As consultas de entradas estáticas serão bem sucedidas. Apenas as entradas adicionadas em modo dinâmico são verificadas na lista de bloqueio para todas as consultas.
2. O que acontece se actualizar o servidor WINS para servidor LH?
   Resposta: O servidor WINS que tiver entradas válidas para WPAD, "WPAD." e ISATAP continuará a funcionar normalmente.
3. E se eliminar as entradas da lista de bloqueio no registo?
   Resposta: Todas as consultas a WPAD, "WPAD." e ISATAP serão bem sucedidas após o reinício de um serviço se existir uma entrada para WPAD, "WPAD." e ISATAP na base de dados do WINS no momento do reinício do serviço. Se as entradas WPAD, "WPAD." e ISATAP não existirem na base de dados do WINS no início do serviço, os valores predefinidos serão preenchidos no registo.
4. Qual é a localização da entrada de registo para a lista de bloqueio?
   Resposta: A lista de bloqueio utiliza a entrada QueryBlockList REG_MULTI_SZ na seguinte subchave:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WINS\Parameters\QueryBlockList
5. E se adicionar uma entrada "EXEMPLO" à lista de bloqueio no registo?
   Resposta: Todas as consultas a "EXEMPLO" serão mal sucedidas quando o serviço for reiniciado após adicionar a entrada.
6. O que acontece se já tiver uma entrada para "EXEMPLO" na base de dados do WINS e também adicionar "EXEMPLO" à lista de bloqueio?
   Resposta: As consultas a "EXEMPLO" serão mal sucedidas.
7. O que acontece se adicionar uma entrada estática para WPAD, "WPAD." e ISATAP à base de dados do WINS depois de aplicar a actualização de segurança do servidor do WINS?
   Resposta: As consultas a WPAD, "WPAD." e ISATAP serão bem sucedidas.
8. Tenho um servidor WPAD implementado na minha rede. Poderei ser afectado?
   Resposta: Não. O WPAD não será bloqueado. Apenas será adicionado ISATAP à lista de bloqueio.