Cambios en el comportamiento del servidor DNS después de instalar la actualización de seguridad para el servidor DNS

Seleccione idioma Seleccione idioma
Id. de artículo: 968732 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Comportamiento posterior a la instalación en equipos servidor tras instalar la actualización de seguridad del servidor DNS

: la finalidad de este artículo de Knowledge Base es mostrar a los usuarios los casos afectados por un cambio inminente en la funcionalidad del servidor DNS. Hemos intentado redactar este documento de la forma más genérica posible. Lea todo el documento y utilícelo para determinar si su entorno empresarial podría verse afectado por esta actualización y cómo le afectaría.

Para obtener más información acerca de la actualización de seguridad del servidor DNS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
961063 MS09-008: Descripción de la actualización de seguridad para el servidor DNS (10 de marzo de 2009)

Más información

Tabla de definiciones

Contraer esta tablaAmpliar esta tabla
TérminoDefinición
Sistema de nombres de dominio (DNS)El Sistema de nombres de dominio es un protocolo estándar de Internet que traduce nombres en direcciones IP y viceversa.
WPADProtocolo de detección automática de proxy web
ISATAPProtocolo de direcciones de túnel automático entre sitios

Información general sobre el problema de seguridad

Internet Explorer y clientes similares buscan un servidor proxy a través del Protocolo de detección automática de proxy web (WPAD). Los equipos cliente buscan el servidor WPAD resolviendo el nombre WPAD y utilizando el DNS. ISATAP (Protocolo de direcciones de túnel automático entre sitios) es una tecnología de transición IPv6. Los clientes DNS llevan a cabo un descubrimiento ISATAP, que es parecido al método utilizado para WPAD. El registro malintencionado de una entrada WPAD o ISATAP dentro de una red corporativa podría permitir a un atacante configurar un proxy malintencionado. Existen soluciones alternativas para el problema de seguridad. Por ejemplo, puede registrar una entrada del nombre de host reservado en la base de datos DNS. El administrador debe registrar el nombre de host sin registrar una dirección IP para reservar así la entrada del nombre de host.

Cambios en el DNS después de aplicar la actualización de seguridad

: una vez aplicada la actualización de seguridad de DNS, se producirán los cambios siguientes en el servidor DNS.
  • La actualización de seguridad crea automáticamente una lista de bloqueados que utilizará el servidor DNS. Cada una de las solicitudes de consulta de nombre se comparará con la lista de bloqueados y se enviará una respuesta negativa para la consulta del nombre de la lista de bloqueados.
  • La lista de bloqueados predeterminada depende de los datos de las zonas para las que tiene autoridad el servidor al ejecutar la actualización. Si los datos de la zona no contienen entradas para WPAD o ISATAP, las entradas WPAD o ISATAP se rellenarán en la lista de bloqueados.
  • Si la base de datos DNS ya tiene una de estas entradas, las entradas WPAD o ISATAP no se rellenarán en la lista de bloqueados.
  • El administrador puede configurar y editar la lista de bloqueados en el registro. El servicio DNS debe reiniciarse para aceptar la nueva lista de bloqueados.
  • Para el servidor DNS, la lista de bloqueados se aplica a todas las zonas que aloja el servidor. No es posible permitir las entradas WPAD e ISATAP en una zona y no hacerlo en otras.
  • La lista de bloqueados se almacena en el registro de cada servidor. No existen réplicas de las entradas de la lista de bloqueados en varios servidores.

Preguntas más frecuentes

  1. ¿Qué ocurre si actualizo mi servidor DNS a un servidor LH?
    Respuesta: un servidor DNS que utiliza entradas válidas para WPAD e ISATAP continuará funcionando del mismo modo que antes.
  2. ¿Cuál es la ubicación de la entrada del Registro para la lista de bloqueados?
    Respuesta: La lista de bloqueados utiliza la entrada GlobalQueryBlockList REG_MULTI_SZ en la siguiente subclave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. ¿Qué pasa si elimino entradas en la lista de bloqueados del registro?
    Respuesta: Todas las consultas de WPAD y ISATAP se realizarán correctamente tras reiniciar el servicio.
  4. ¿Qué sucede si elimino la clave del Registro GlobalQueryBlockList?
    Respuesta: Cuando se reinicia el servicio, la clave se agrega de nuevo y los valores de la lista predeterminada de bloqueados se vuelve a llenar. Se bloquearán todas las consultas WPAD e ISATAP que no sean TXT.
  5. ¿Qué ocurre si elimino una entrada "contoso" de la lista de bloqueados del registro?
    Respuesta: una vez agregada la entrada a la lista de bloqueados, todas las consultas de "contoso" de cualquier zona serán incorrectas en cuanto se reinicie el servicio.
  6. ¿Qué sucede si ya tengo una entrada para "contoso" en la base de datos DNS y también agrego "contoso" a la lista de bloqueados?
    Respuesta: las consultas de "contoso.myzone.com" no se realizarán correctamente.
  7. He implementado un servidor WPAD en mi red. ¿Se verá afectado?
    Respuesta: no. Si ha implementado WPAD en una red y el nombre de WPAD ya está registrado en DNS, éste no se bloqueará. No obstante, si ha implementado WPAD en la red y éste utiliza DHCP para distribuir el archivo wpad.dat con el servidor DNS vacío, se bloqueará la consulta DNS de WPAD.
  8. ¿Puedo utilizar DNSCMD.exe para configurar la lista de bloqueados?
    Respuesta: no. La lista de bloqueados sólo se puede cambiar en el registro.
  9. ¿Se producirían errores al registrar las entradas bloqueadas en el servidor DNS?
    Respuesta: no. Como parte de la característica lista de bloqueados, los registros se realizarán correctamente. Únicamente se producirían errores en las entradas bloqueadas.
  10. ¿Esta característica bloquea solamente las consultas Host (tipo A o AAAA)?
    Respuesta: no, se bloquean todos los tipos de consultas para los nombres presentes en la lista de bloqueados.

Propiedades

Id. de artículo: 968732 - Última revisión: lunes, 18 de enero de 2010 - Versión: 4.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003 Service Pack 1 sobre las siguientes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 sobre las siguientes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Service Pack 4 de Microsoft Windows 2000 sobre las siguientes plataformas
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Palabras clave: 
kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com