DNS サーバーのセキュリティ更新プログラムをインストールした後の DNS サーバー機能に対する変更

文書翻訳 文書翻訳
文書番号: 968732 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

DNS サーバーのセキュリティ更新プログラムのインストール後のサーバー コンピューターにおけるインストール後の動作

このサポート技術情報の資料の目的は、DNS サーバー機能に対する今後の変更によって影響を受ける状況をユーザーに説明することです。できる限り一般的な資料になるように努力しました。この資料全体に目をとおし、この更新プログラムによってエンタープライズ環境が影響を受ける可能性がある場合とどのような影響を受けるのかについて理解するのに使用してください。

DNS サーバーのセキュリティ更新プログラムの関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
961063 [MS09-008] DNS サーバーのセキュリティ更新プログラム (2009 年 3 月 10 日) について

詳細

定義テーブル

元に戻す全体を表示する
用語定義
DNS (Domain Name System)DNS はインターネット標準プロトコルで、名前を IP アドレスおよび IP アドレスを名前に変換します。
WPADWeb プロキシ自動検出プロトコル
ISATAPISATAP (Intra-Site Automatic Tunnel Addressing Protocol)

セキュリティ問題の概要

Internet Explorer および同様のクライアントは、Web プロキシ自動検出プロトコル (WPAD) を使用して、プロキシ サーバーを検索します。クライアント コンピューターは、名前 WPAD を解決したり、DNS を使用したりして、WPAD サーバーを見つけ出します。ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) は IPv6 移行テクノロジです。DNS クライアントは、WPAD に使用するメソッドに類似した ISATAP 検出を実行します。 会社のネットワーク内に WPAD または ISATAP エントリの悪質な登録があると、攻撃者が悪質なプロキシを構成することができます。このセキュリティ問題には解決策があります。たとえば、DNS データベースで予約した名前のホスト エントリを登録できます。管理者は、IP アドレスの登録、それによる名前ホストのエントリの予約を行わずに、ホスト名を登録する必要があります。

セキュリティ更新プログラム適用後の DNS に対する変更

DNS セキュリティ更新プログラムの適用後に、DNS に対して次の変更が行われます。
  • セキュリティ更新プログラムは、DNS によって使用されるブロック リストを自動的に作成します。名前クエリ要求はすべてブロック リストと比較してチェックされるので、否定応答がブロック リストの名前クエリに送信されます。
  • 既定のブロック リストは、サーバーに更新プログラムを実行する権限のあるゾーンのデータによって決まります。ゾーンのデータに WPAD または ISATAP のエントリが含まれていない場合、WPAD または ISATAP のエントリがブロック リストに入力されます。
  • DNS データベース内にこのようなエントリが含まれていると、WPAD または ISATAP エントリはブロック リストに入力されません。
  • 管理者はレジストリ内のブロック リストを構成および編集することができます。新しいブロック リストを承認するには、DNS サービスを再起動する必要があります。
  • DNS の場合、ブロック リストはサーバーによってホストされるすべてのゾーンに適用されます。1 つのゾーンのみで WPAD および ISATAP クエリを許可することはできません。
  • ブロック リストは各サーバーのレジストリに格納されます。複数のサーバーに渡るブロック リストのエントリのレプリケーションはありません。

よく寄せられる質問

  1. DNS サーバーを LH サーバーにアップグレードした場合はどうなりますか?
    回答: WPAD および ISATAP の有効なエントリがある DNS サーバーは引き続き以前と同様に動作します。
  2. ブロック リストのレジストリ エントリの場所はどこですか?
    回答: ブロック リストでは、次のサブキー内の GlobalQueryBlockList REG_MULTI_SZ エントリが使用されます。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. レジストリ内のブロック リストのエントリを削除した場合はどうなりますか?
    回答: サービスの再起動後、WPAD および ISATAP に対するすべてのクエリは成功します。
  4. GlobalQueryBlockList レジストリ キーを削除するとどうなりますか?
    回答: サービスが再起動した時点で、このキーは追加されて戻り、既定のブロック リストの値が再び戻されます。TXT WPAD と ISATAP 以外のクエリはすべてブロックされます。
  5. レジストリ内のブロック リストにエントリ "contoso" を追加した場合はどうなりますか?
    回答: ブロック リストにエントリを追加した後にサービスを再起動すると、ゾーン内の contoso に対するクエリはすべて失敗します。
  6. DNS データベース内に contoso に対するエントリが既にあり、さらにブロック リストにも contoso を追加した場合はどうなりますか?
    回答: "contoso.myzone.com" に対するクエリが失敗します。
  7. ネットワーク内に WPAD サーバーが配置されています。影響を受けますか?
    回答: いいえ。ネットワーク内に WPAD が配置されており、DNS で登録された名前 WPAD が既にある場合、WPAD はブロックされません。ただし、ネットワーク内に WPAD があり、何もない DNS で wpad.dat ファイルを配布するために DHCP が使用される場合、WPAD の DNS クエリはブロックされます。
  8. DNSCMD.exe を使用して、ブロック リストを構成できますか?
    回答: いいえ。レジストリ内のブロック リストの変更のみ可能です。
  9. ブロックされたエントリの登録は DNS サーバーで失敗しますか?
    回答: いいえ。ブロック リスト機能の一部として登録は成功します。ブロックされたエントリのクエリのみ失敗します。
  10. この機能によってブロックされるのは、ホスト (タイプ A または AAAA) クエリのみですか?
    回答: いいえ。ブロック リスト内にある全種類の名前クエリがブロックされます。

プロパティ

文書番号: 968732 - 最終更新日: 2010年1月14日 - リビジョン: 4.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003 Service Pack 1?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Service Pack 4?を以下の環境でお使いの場合
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional
    • Microsoft Windows 2000 Server
キーワード:?
kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com