Alterações no comportamento do servidor WINS após a instalação da atualização de segurança para o servidor WINS

Comportamento de pós-instalação em computadores do servidor após a instalação da atualização de segurança do servidor WINS

A finalidade deste artigo da Base de Dados de Conhecimento é informar os usuários sobre cenários que são afetados por uma alteração iminente na funcionalidade do servidor WINS. Tentamos elaborar este documento da forma mais genérica possível. Leia todo esse documento e use-o para entender se e como o ambiente da sua empresa pode ser afetado por esta atualização.

Para obter mais informações sobre a atualização de segurança do servidor WINS, clique no número a seguir para ler o artigo na Base de Dados de Conhecimento Microsoft:

Tabela de definições

Uma visão geral do problema de segurança

Um erro de projeto que afeta o software do cliente configurado para usar o Web Proxy Automatic Discovery (WPAD) pode entrar em contato com um host que serve um arquivo de configuração automática de proxy (Wpad.dat). Um cliente configurado por WPAD pode pesquisar um host ao resolver o WPAD do nome para determinar se o WPAD do nome corresponde a uma entrada no WINS. As inscrições mal-intencionadas de uma entrada de WPAD dentro de uma rede corporativa pode permitir que um invasor controle a configuração do Internet Explorer. É possível ocorrer um ataque semelhante usando o ISATAP do nome.

Há soluções alternativas para este problema de segurança. Por exemplo, você pode registrar uma entrada de host de nome reservada no banco de dados do WINS. O administrador deve registrar o nome do host sem um endereço IP, reservando a entrada do host do nome.

Alterações no WINS após a aplicação da atualização de segurança

As seguintes alterações no WINS ocorrerão após a aplicação da atualização de segurança do WINS:

• A atualização de segurança criará automaticamente uma lista de bloqueios que será utilizada pelo WINS. Cada solicitação de consulta de nome é verificada na lista de bloqueios e uma resposta vazia será enviada para a consulta de nome listado no bloqueio.
• Por padrão, a lista de bloqueios contém WPAD, "WPAD." e ISATAP.
• Se o banco de dados do WINS já tiver uma dessas entradas, a entrada não será colocada na lista de bloqueados.
• O administrador pode configurar e editar a lista de bloqueios no Registro. O serviço WINS deve ser reiniciado para que a lista de bloqueios entre em vigor.
• A lista de bloqueios é armazenada no Registro de cada servidor. Não há replicações das entradas da lista de bloqueios em diversos servidores.
• A lista de bloqueios criada para DNS é diferente desta lista de bloqueios.

Perguntas mais freqüentes

1. O que acontece se eu adicionar entradas estáticas para WPAD, "WPAD." e ISATAP no WINS?
   Resposta: As consultas de entradas estáticas serão realizadas com êxito. Somente as entradas adicionadas dinamicamente são marcadas na lista de bloqueios em cada consulta.
2. O que acontece se eu atualizar o meu servidor WINS para servidor LH?
   Resposta: O servidor WINS que tem entradas válidas de WPAD, "WPAD." e ISATAP continuará funcionando como antes.
3. O que acontece se eu excluir as entradas da lista de bloqueios no Registro?
   Resposta: Todas as consultas de WPAD, "WPAD." e ISATAP serão realizadas com êxito após a reinicialização de um serviço, se houver uma entrada de WPAD, "WPAD." e ISATAP no banco de dados do WINS quando o serviço for reiniciado. Se as entradas de WPAD, "WPAD." e ISATAP não estiverem presentes no banco de dados do WINS quando o serviço for iniciado, os valores padrão serão preenchidos novamente no Registro.
4. Qual é o local da entrada do Registro da lista de bloqueios?
   Resposta: A lista de bloqueios usa a entrada QueryBlockList REG_MULTI_SZ na seguinte subchave:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WINS\Parameters\QueryBlockList
5. O que acontece se eu adicionar uma entrada "SAMPLE" à lista de bloqueios no Registro?
   Resposta: Todas as consultas de "SAMPLE" falharão assim que o serviço for reiniciado após a adição da entrada.
6. O que acontece se eu já tiver uma entrada de "SAMPLE" no banco de dados do WINS e adicionar "SAMPLE" à lista de bloqueios?
   Resposta: As consultas de "SAMPLE" falharão.
7. O que acontece se eu adicionar uma entrada estática para WPAD, "WPAD." e ISATAP ao banco de dados do WINS após a aplicação da atualização de segurança do servidor WINS?
   Resposta: As consultas de WPAD, "WPAD." e ISATAP serão realizadas com êxito.
8. Tenho um servidor WPAD implantado na minha rede. Eu serei afetado?
   Resposta: Não. O WPAD não será bloqueado. Somente o ISATAP será adicionado à lista de bloqueios.