Alterações no comportamento do servidor DNS após a instalação da atualização de segurança para o servidor DNS

Traduções deste artigo Traduções deste artigo
ID do artigo: 968732 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Comportamento de pós-instalação em computadores do servidor após a instalação da atualização de segurança do servidor DNS

A finalidade deste artigo da Base de Dados de Conhecimento é informar os usuários sobre cenários que são afetados por uma alteração iminente na funcionalidade do servidor DNS. Tentamos elaborar este documento da forma mais genérica possível. Leia todo esse documento e use-o para entender se e como o ambiente da sua empresa pode ser afetado por esta atualização.

Para obter mais informações sobre a atualização de segurança do servidor DNS, clique no número a seguir para ler o artigo na Base de Dados de Conhecimento Microsoft:
961063 MS09-008: Descrição da atualização de segurança para servidor DNS: 10 de março de 2009

Mais Informações

Tabela de definições

Recolher esta tabelaExpandir esta tabela
TermoDefinição
DNS (Sistema de nomes de domínios)O Sistema de Nomes de Domínio (DNS) é um protocolo padrão da Internet que traduz nomes para endereços IP e vice versa.
WPADProtocolo Web Proxy Auto-discovery
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

Uma visão geral do problema de segurança

O Internet Explorer e clientes semelhantes pesquisam um servidor proxy usando o Protocolo WPAD (Web Proxy Auto-discovery). Computadores cliente pesquisam o servidor WPAD resolvendo o WPAD do nome e usando o DNS. ISATAP (Protocolo Intra-Site Automatic Tunnel Addressing) é uma tecnologia de transição IPv6. Clientes DNS executam a descoberta ISATAP, que é semelhante ao método usado para WPAD. Um registro mal-intencionado de uma entrada WPAD ou ISATAP em uma rede corporativa pode permitir que um invasor configure um proxy mal-intencionado. Há soluções alternativas para este problema de segurança. Por exemplo, você pode registrar uma entrada de host de nome reservada no banco de dados do DNS. O administrador deve registrar o nome de host sem registrar um endereço IP, reservando a entrada de host do nome.

Alterações no DNS após a aplicação da atualização de segurança

As seguintes alterações no DNS ocorrerão após a aplicação da atualização de segurança do DNS:
  • A atualização de segurança cria automaticamente uma lista de bloqueios que será usada pelo DNS. Cada solicitação de consulta de nome é verificada na lista de bloqueios, e uma resposta negativa é enviada para a consulta de nomes bloqueados.
  • A lista de bloqueios padrão depende dos dados nas zonas em que o servidor tem autoridade quando a atualização é executada. Se os dados da zona não contiverem entradas de WPAD ou ISATAP, essas entradas serão incluídas na lista de bloqueios.
  • Se o banco de dados DNS já tiver uma dessas entradas, as entradas WPAD ou ISATAP não serão incluídas na lista de bloqueios.
  • O administrador pode configurar e editar a lista de bloqueios no Registro. O serviço DNS deve ser reiniciado para que a nova lista de bloqueios seja aceita.
  • Para DNS, a lista de bloqueios aplica-se a todas as zonas hospedadas pelo servidor. Você não pode permitir consultas de WPAD e ISATAP em uma zona e não permitir em outra.
  • A lista de bloqueios é armazenada no Registro de cada servidor. Não há replicação das entradas da lista de bloqueios em vários servidores.

Perguntas frequentes

  1. O que acontece se eu atualizar o meu servidor DNS para um servidor LH?
    Resposta: Um servidor DNS que usa entradas válidas de WPAD e ISATAP continuará funcionando como antes.
  2. Qual é a localização da entrada de Registro da lista de bloqueios?
    Resposta: A lista de bloqueios usa a entrada GlobalQueryBlockList REG_MULTI_SZ na seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. O que acontece se eu excluir as entradas da lista de bloqueios no Registro?
    Resposta: Todas as consultas para WPAD e ISATAP terão êxito após a reinicialização do serviço.
  4. O que acontece se eu excluir chave do Registro GlobalQueryBlockList?
    Resposta: Quando o serviço for reiniciado, a chave será adicionada novamente e os valores de lista de bloco padrão serão preenchidos. Todas as consultas que não são ISATAP e TXT WPAD serão bloqueadas.
  5. O que acontece se eu adicionar uma entrada "contoso" à lista de bloqueios no Registro?
    Resposta: Depois de adicionar a entrada à lista de bloqueios, todas as consultas de contoso em todas as zonas não serão realizadas com êxito quando o serviço for reiniciado.
  6. O que acontece se eu já tiver uma entrada de contoso no banco de dados do DNS e adicionar contoso à lista de bloqueios?
    Resposta: As consultas de "contoso.myzone.com" não serão realizadas com sucesso.
  7. Tenho um servidor WPAD implantado na minha rede. Eu serei afetado?
    Resposta: Não. Se você tiver o WPAD implantado em uma rede, e ainda tiver o WPAD do nome registrado no DNS, ele não será bloqueado. Entretanto, se você tiver o WPAD na rede e usar o DHCP para distribuir o arquivo wpad.dat sem nada no DNS, a consulta DNS para WPAD será bloqueada.
  8. Posso usar o DNSCMD.exe para configurar a lista de bloqueios?
    Resposta: Não. Você só pode alterar a lista de bloqueios no Registro.
  9. Ocorrerá falha no registro das entradas bloqueadas no servidor DNS?
    Resposta: Não. Como parte do recurso da lista de bloqueios, os registros serão realizados com êxito. Somente as consultas das entradas bloqueadas falharão.
  10. Somente as consultas de Host (tipo A ou AAAA) estão bloqueadas por esse recurso?
    Resposta: Não, todos os tipos de consulta de nomes na lista de bloqueios estão bloqueadas.

Propriedades

ID do artigo: 968732 - Última revisão: segunda-feira, 18 de janeiro de 2010 - Revisão: 4.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Service Pack 1 nas seguintes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 nas seguintes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Service Pack 4 nas seguintes plataformas
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Palavras-chave: 
kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com