Änderungen am DNS-Serververhalten nach Installation des Sicherheitsupdates für DNS-Server

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 968732 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Verhalten von Servercomputern nach Installation des Sicherheitsupdates für DNS-Server

Der Zweck dieses Knowledge Base-Artikels besteht darin, die Benutzer über Szenarien zu informieren, die von einer bevorstehenden Änderung an der DNS-Serverfunktionalität betroffen sind. Dieser Artikel wurde so allgemein wie möglich formuliert. Lesen Sie bitte den vollständigen Artikel, um zu bestimmen, ob und wie Ihre Unternehmensumgebung von diesem Update betroffen sein kann.

Weitere Informationen zum Sicherheitsupdate für DNS-Server finden Sie im folgenden Artikel der Microsoft Knowledge Base:
961063 MS09-008: Hinweise zum Sicherheitsupdate für DNS-Server vom 10. März 2009

Weitere Informationen

Definitionstabelle

Tabelle minimierenTabelle vergrößern
BegriffDefinition
DNS (Domain Name System)DNS (Domain Name System) ist ein Internetstandardprotokoll, das Namen in IP-Adressen übersetzt und umgekehrt.
WPADWeb Proxy Auto-Discovery-Protokoll
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

Ein Überblick über die Sicherheitsprobleme

Internet Explorer und ähnliche Clients suchen anhand des WPAD-Protokolls (Web Proxy Auto-Discovery) nach Proxyservern. Clientcomputer suchen nach WPAD-Servern, indem sie den Namen WPAD unter Verwendung von DNS auflösen. ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) ist eine IPv6-Übergangstechnologie. DNS-Clients führen ISATAP-Erkennung aus, was der für WPAD verwendeten Methode gleicht. Eine in böswilliger Absicht vorgenommene Registrierung eines WPAD- oder ISATAP-Eintrags innerhalb eines Unternehmensnetzwerks kann einem Angreifer ermöglichen, einen Proxy zu konfigurieren und zu böswilligen Zwecken zu nutzen . Es gibt Möglichkeiten, dieses Sicherheitsproblem zu umgehen. Sie können beispielsweise in der DNS-Datenbank einen reservierten Namenshosteintrag registrieren. Der Administrator muss den Hostnamen ohne eine IP-Adresse registrieren, wodurch der Namenshosteintrag reserviert wird.

Änderungen an DNS nach Installation des Sicherheitsupdates

Die folgenden Änderungen an DNS erfolgen nach Installation des DNS-Sicherheitsupdates:
  • Das Sicherheitsupdate erstellt automatisch eine Sperrliste, die von DNS verwendet wird. Jede Namensabfrageanforderung wird mit der Sperrliste verglichen, und für die in der Sperrliste enthaltenen Namensabfragen wird eine negative Antwort gesendet.
  • Die Standardwerte der Sperrliste hängen von den Daten in den Zonen ab, für die der Server bei Ausführung des Updates autorisiert ist. Wenn die Zonendaten keine Einträge für WPAD oder ISATAP enthalten, werden die WPAD- oder ISATAP-Einträge in der Sperrliste gefüllt.
  • Wenn die DNS-Datenbank bereits einen dieser Einträge enthält, werden die WPAD- oder ISATAP-Einträge in der Sperrliste nicht gefüllt.
  • Der Administrator kann die Sperrliste in der Registrierung konfigurieren und bearbeiten. Der DNS-Dienst muss neu gestartet werden, um die neue Sperrliste anzunehmen.
  • Für DNS gilt die Sperrliste für alle vom Server gehostete Zonen. Sie können keine WPAD- und ISATAP-Abfragen in einer Zone zulassen und in einer anderen blocken.
  • Die Sperrliste wird in der Registrierung jedes einzelnen Servers gespeichert. Es erfolgt keine Replikation der Sperrliste auf mehrere Server.

Häufig gestellte Fragen

  1. Was geschieht, wenn ich meinen DNS-Server auf einen LH-Server aktualisiere?
    Antwort: Ein DNS-Server mit gültigen WPAD- und ISATAP-Einträgen funktioniert unverändert.
  2. Wo befindet sich der Registrierungseintrag für die Sperrliste?
    Antwort: Die Sperrliste verwendet den Eintrag GlobalQueryBlockList REG_MULTI_SZ im folgenden Unterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Was geschieht, wenn ich die Einträge der Sperrliste aus der Registrierung lösche?
    Antwort: Alle Abfragen an WPAD und ISATAP werden nach einem Neustart des Diensts erfolgreich ausgeführt.
  4. Was geschieht, wenn ich den Registrierungsschlüssel "GlobalQueryBlockList" lösche?
    Antwort: Nach dem Neustart des Diensts wird der Schlüssel wieder hinzugefügt und mit den Standardwerten der Sperrliste gefüllt. Alle WPAD- und ISATAP-Abfragen in einem anderen als dem TXT-Format werden geblockt.
  5. Was geschieht, wenn ich einen Eintrag "contoso" zur Sperrliste in der Registrierung hinzufüge?
    Antwort: Nachdem Sie den Eintrag zur Sperrliste hinzugefügt haben und der Dienst neu gestartet wurde, schlagen alle Abfragen nach "contoso" in allen Zonen fehl.
  6. Was geschieht, wenn in der DNS-Datenbank bereits ein Eintrag für "contoso" vorhanden ist und ich "contoso" auch zur Sperrliste hinzufüge?
    Antwort: Abfragen nach "contoso.eigeneZone.com" schlagen fehl.
  7. Ich habe in meinem Netzwerk einen WPAD-Server bereitgestellt. Bin ich betroffen?
    Antwort: Nein. Wenn Sie WPAD in einem Netzwerk bereitstellen und den Namen WPAD bereits in DNS registriert haben, wird dieser nicht geblockt. Verwenden Sie jedoch WPAD im Netzwerk, und wird die Datei "wpad.dat" mit DHCP verteilt, ohne dass ein Eintrag in DNS vorliegt, wird die DNS-Abfrage nach WPAD geblockt.
  8. Kann ich "DNSCMD.exe" zum Konfigurieren der Sperrliste verwenden?
    Antwort: Nein. Sie können die Sperrliste nur in der Registrierung ändern.
  9. Würde die Registrierung geblockter Einträge im DNS-Server fehlschlagen?
    Antwort: Nein. Im Rahmen der Sperrlistenfunktion wird die Registrierung erfolgreich vorgenommen. Nur Abfragen nach den geblockten Einträgen schlagen fehl.
  10. Werden nur Host-Abfragen (Typ A oder AAAA) von diesem Feature geblockt?
    Antwort: Nein, alle Arten von Abfragen nach in der Sperrliste enthaltenen Namen werden geblockt.

Eigenschaften

Artikel-ID: 968732 - Geändert am: Montag, 18. Januar 2010 - Version: 4.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003 Service Pack 1, wenn verwendet mit:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2, wenn verwendet mit:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Service Pack 4, wenn verwendet mit:
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Keywords: 
kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com