Changements intervenus dans le comportement du serveur DNS après l'installation de la mise à jour de sécurité pour le serveur DNS

Traductions disponibles Traductions disponibles
Numéro d'article: 968732 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Comportement postérieur à l'installation sur des ordinateurs serveur après l'installation de la mise à jour de sécurité du serveur DNS

L'objectif de cet article de la Base de connaissances consiste à informer les utilisateurs des scénarios affectés par une modification imminente des fonctionnalités du serveur DNS. Nous avons tenté de généraliser ce document autant que possible. Lisez-le entièrement et servez-vous-en pour comprendre si cette mise à jour peut affecter l'environnement de votre entreprise et, le cas échéant, de quelle manière.

Pour plus d'informations sur la mise à jour de sécurité du serveur DNS, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
961063 MS09-008 : Description de la mise à jour de sécurité pour le serveur DNS : 10 mars 2009

Plus d'informations

Tableau des définitions

Réduire ce tableauAgrandir ce tableau
TermeDéfinition
Système DNS (Domain Name System)Le système DNS est un protocole Internet standard qui traduit les noms en adresses IP et inversement.
WPADWeb Proxy Auto-discovery Protocol
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

Vue d'ensemble du problème de sécurité

Internet Explorer et les clients similaires recherchent un serveur proxy à l'aide du protocole WPAD (Web Proxy Auto-discovery Protocol). Les ordinateurs client recherchent le serveur WPAD en résolvant le nom WPAD et à l'aide du DNS. ISATAP (protocole d'adressage tunnel intra-site) est une technologie de transition IPv6. Les clients DNS découvrent ISATAP, qui est similaire à la méthode utilisée pour WPAD. L'enregistrement malveillant d'une entrée WPAD ou ISATAP dans un réseau d'entreprise peut permettre à un utilisateur malveillant de configurer un proxy malveillant. Il existe plusieurs manières de contourner ce problème de sécurité. Par exemple, vous pouvez enregistrer une entrée réservée de nom d'hôte dans la base de données DNS. L'administrateur doit enregistrer le nom de l'hôte sans enregistrer une adresse IP. Il réserve l'entrée de l'hôte de nom.

Modifications apportées à DNS après l'application de la mise à jour de sécurité

Les modifications suivantes apportées à DNS ont lieu après l'application de la mise à jour de sécurité de DNS :
  • La mise à jour de sécurité crée automatiquement une liste de blocage utilisée par DNS. Chaque demande de requête de nom est analysée par rapport à la liste de blocage et une réponse négative est envoyée pour la requête de nom qui apparaît sur la liste de blocage.
  • La liste de blocage dépend par défaut des données figurant dans les zones pour lequel le serveur fait autorité lors de l'exécution de la mise à jour. Si les données de la zone ne contiennent pas d'entrées pour WPAD ou ISATAP, les entrées WPAD ou ISATAP sont enregistrées dans la liste de blocage.
  • Si la base de données DNS contient déjà l'une de ces entrées, les entrées WPAD ou ISATAP ne sont pas enregistrées dans la liste de blocage.
  • L'administrateur peut configurer et modifier la liste de blocage dans le Registre. Le service DNS doit être redémarré pour que la nouvelle liste de blocage soit acceptée.
  • Pour DNS, la liste de blocage s'applique à toutes les zones hébergées par le serveur. Vous ne pouvez pas autoriser les requêtes WPAD et ISATAP dans une zone et pas dans une autre.
  • La liste de blocage est enregistrée dans le Registre pour chaque serveur. Il n'existe pas de réplication d'entrées de liste de blocage sur plusieurs serveurs.

Forum Aux Questions (FAQ)

  1. Que se passe-t-il si je mets à niveau mon serveur DNS vers LH ?
    Réponse : Le serveur DNS possédant des entrées valides de WPAD et ISATAP continuera à fonctionner comme avant.
  2. Quel est l'emplacement de la clé de Registre pour la liste de blocage ?
    Réponse : La liste de blocage utilise l'entrée GlobalQueryBlockList REG_MULTI_SZ dans la sous-clé suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Que se passe-t-il si je supprime les entrées de la liste de blocage dans le Registre ?
    Réponse : Toutes les requêtes pour WPAD et ISATAP réussiront après le redémarrage du service.
  4. Que se passe-t-il si je supprime la clé de Registre GlobalQueryBlockList ?
    Réponse : Lorsque le service redémarre, la clé est à nouveau ajoutée et les valeurs de liste de blocage par défaut sont à nouveau remplies. Toutes les requêtes non-TXT WPAD et ISATAP seront bloquées.
  5. Que se passe-t-il si j'ajoute une entrée « contoso » à la liste de blocage dans le Registre ?
    Réponse : Une fois l'entrée ajoutée à la liste de blocage, toutes les requêtes pour contoso dans toutes les zones échouent dès que le service a redémarré.
  6. Que se passe-t-il si je possède déjà une entrée pour contoso dans la base de données DNS et si j'ajoute également contoso dans la liste de blocage ?
    Réponse : Les requêtes pour « contoso.ma_zone.com » échouent.
  7. Un serveur WPAD est déployé sur mon réseau. Suis-je concerné ?
    Réponse : Non. Si WPAD est déployé sur votre réseau et si vous avez déjà enregistré le nom WPAD dans DNS, il n'est pas bloqué. Toutefois, si WPAD est déployé sur votre réseau et utilise DHCP pour distribuer le fichier wpad.dat alors que DNS ne contient rien, la requête DNS pour WPAD est bloquée.
  8. Puis-je utiliser DNSCMD.exe pour configurer la liste de blocage ?
    Réponse : Non. Vous ne pouvez que modifier la liste de blocage dans le Registre.
  9. L'enregistrement des entrées bloquées peut-il échouer dans le serveur DNS ?
    Réponse : Non. Dans le cadre de la fonction de la liste de blocage, les enregistrements réussissent. Seules les requêtes pour les entrées bloquées échouent.
  10. Les requêtes hôte (type A ou AAAA) sont-elles les seules à être bloquées par cette fonction ?
    Réponse : Non, tous les types de requêtes de noms de la liste de blocage sont bloqués.

Propriétés

Numéro d'article: 968732 - Dernière mise à jour: lundi 18 janvier 2010 - Version: 4.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003 Service Pack 1 sur le système suivant
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 sur le système suivant
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Service Pack 4 sur le système suivant
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professionnel
    • Microsoft Windows 2000 Server
Mots-clés : 
kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com