DNS-palvelimen toiminnan muutokset DNS-palvelimen tietoturvapäivityksen asentamisen jälkeen

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 968732 - Näytä tuotteet, joita tämä artikkeli koskee.
Ilmoitus
Lisätietoja yleisistä Windows 2000:een liittyvistä ongelmista löydät seuraavalta sivulta.

Windows 2000:n tuen päättymisen ratkaisukeskus.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

ESITTELY

Palvelintietokoneiden toiminta DNS-palvelimen tietoturvapäivityksen asentamisen jälkeen

Tämän Knowledge Base -tietokannan artikkelin tarkoitus on antaa käyttäjille tietoja skenaarioista, joihin DNS-palvelimen toimintojen tuleva muutos vaikuttaa. Tästä asiakirjasta on yritetty tehdä sellainen, että se käsittelee asioita mahdollisimman yleisellä tasolla. Lue tämä asiakirja kokonaan, niin saat tietoja siitä, miten tämä päivitys saattaa vaikuttaa yritysympäristöösi.

Saat lisätietoja DNS-palvelimen tietoturvapäivityksestä napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
961063 MS09-008: 10.3.2009 julkaistun DNS-palvelimen tietoturvapäivityksen kuvaus

Enemmän tietoa

Määritelmätaulukko

Kutista tämä taulukkoLaajenna tämä taulukko
TermiMääritelmä
DNS (Domain Name System)DNS (Domain Name System) on Internetin vakioprotokolla, joka muuntaa nimet IP-osoitteeksi ja IP-osoitteet nimiksi.
WPADWeb Proxy Auto-discovery Protocol
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

Tietoturvaongelman yleistietoja

Internet Explorer ja vastaavat asiakkaat etsivät välityspalvelinta WPAD (Web Proxy Auto-discovery Protocol) -protokollan avulla. Asiakastietokoneet etsivät WPAD-palvelinta selvittämällä nimen WPAD ja käyttämällä DNS:ää. ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) on IPv6-siirtymistekniikka. DNS-asiakkaat tekevät ISATAP-etsinnän, joka on samanlainen kuin WPAD-protokollalle. Jos WPAD- tai ISATAP-merkintä rekisteröidään yritysverkossa niin, että tarkoituksena on aiheuttaa haittaa, hyökkääjä saattaa pystyä määrittämään haitalliseksi suunnitellun välityspalvelimen. Tälle tietoturvaongelmalle on kiertotapoja. Voit esimerkiksi rekisteröidä varatun nimen isäntämerkinnän DNS-tietokantaan. Järjestelmänvalvojan on rekisteröitävä isäntänimi rekisteröimättä IP-osoitetta, jolloin nimen isäntämerkintä varataan.

DNS-muutokset tietoturvapäivityksen asentamisen jälkeen

Seuraavat DNS-muutokset tehdään sen jälkeen, kun DNS-tietoturvapäivitys on asennettu:
  • Tietoturvapäivitys luo automaattisesti estoluettelon, jota DNS käyttää. Jokainen nimen kyselypyyntö tarkistetaan estoluetteloa vasten ja estoluettelossa olevan nimen kyselylle lähetetään kielteinen vastaus.
  • Estoluettelon oletus määräytyy niillä vyöhykkeillä olevien tietojen mukaan, joita palvelin hallitsee, kun päivitys suoritetaan. Jos vyöhykkeen tiedot eivät sisällä WPAD- tai ISATAP-merkintöjä, WPAD- tai ISATAP-merkinnät lisätään estoluetteloon.
  • Jos DNS-tietokannassa on jo jokin näistä merkinnöistä, WPAD- tai ISATAP-merkintöjä ei lisätä estoluetteloon.
  • Järjestelmänvalvoja voi määrittää ja muokata estoluetteloa rekisterissä. DNS-palvelu on käynnistettävä uudelleen, jotta uusi estoluettelo hyväksytään.
  • DNS:n ollessa kyseessä estoluettelo koskee kaikkia vyöhykkeitä, joita palvelin isännöi. WPAD- ja ISATAP-kyselyitä ei voi sallia yhdellä vyöhykkeellä ja estää toisella.
  • Estoluettelo on tallennettu kunkin palvelimen rekisteriin. Estoluettelon merkintöjä ei replikoida palvelinten välillä.

Usein kysyttyjä kysymyksiä

  1. Mitä tapahtuu, jos DNS-palvelin päivitetään LH-palvelimeksi?
    Vastaus: DNS-palvelin, joka käyttää kelvollisia merkintöjä nimille WPAD ja ISATAP, toimii edelleen samalla tavalla kuin ennen.
  2. Mikä on estoluettelon rekisterimerkinnän sijainti?
    Vastaus: Estoluettelo käyttää REG_MULTI_SZ-merkintää GlobalQueryBlockList seuraavassa aliavaimessa:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Mitä tapahtuu, jos rekisterin estoluettelon merkinnät poistetaan?
    Vastaus: Kaikki kyselyt nimille WPAD ja ISATAP onnistuvat sen jälkeen, kun palvelu on käynnistetty uudelleen.
  4. Mitä tapahtuu, jos poistan GlobalQueryBlockList-rekisteriavaimen?
    Vastaus: Kun palvelu käynnistyy uudelleen, avain lisätään takaisin, ja oletusarvon mukaiset estoluetteloarvot täytetään uudelleen. Kaikki muut kuin tekstimuotoiset WPAD- ja ISATAP-kyselyt estetään.
  5. Mitä tapahtuu, jos rekisterin estoluetteloon lisätään merkintä "contoso"?
    Vastaus: Sen jälkeen, kun merkintä on lisätty estoluetteloon, kaikki minkä tahansa vyöhykkeen nimen contoso kyselyt epäonnistuvat heti, kun palvelu käynnistetään uudelleen.
  6. Mitä tapahtuu, jos DNS-tietokannassa on jo merkintä nimelle contoso ja nimi contoso lisätään myös estoluetteloon?
    Vastaus: Nimen contoso.omavyöhyke.com kyselyt epäonnistuvat.
  7. Verkossa on otettu käyttöön WPAD-palvelin. Vaikuttaako tämä siihen?
    Vastaus: Ei. Jos WPAD on otettu käyttöön verkossa ja nimi WPAD on jo rekisteröity DNS:ssä, sitä ei estetä. Jos verkossa kuitenkin on WPAD ja se jakelee Wpad.dat-tiedostoa DHCP:n avulla, eikä DNS:ssä ole mitään, DNS-kysely nimelle WPAD estetään.
  8. Voiko estoluettelon määrittää Dnscmd.exe-ohjelman avulla?
    Vastaus: Ei. Estoluetteloa voi muuttaa ainoastaan rekisterissä.
  9. Epäonnistuisiko estettyjen merkintöjen rekisteröiminen DNS-palvelimessa?
    Vastaus: Ei. Rekisteröinnit onnistuvat osana estoluettelo-ominaisuutta. Vain estetyille merkinnöille tehdyt kyselyt epäonnistuvat.
  10. Estääkö tämä ominaisuus vain isäntäkyselyt (tyyppi A tai AAAA)?
    Vastaus: Ei. Kaikenlaiset estoluettelon nimille tehdyt kyselyt epäonnistuvat.

Ominaisuudet

Artikkelin tunnus: 968732 - Viimeisin tarkistus: 30. syyskuuta 2011 - Versio: 5.0
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft Windows Server 2003 Service Pack 1 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Service Pack 4 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Hakusanat: 
kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com