DNS sunucusuna yönelik güvenlik güncelleştirmesi yüklendikten sonra DNS sunucusu davranışındaki değişiklikler

Makale çevirileri Makale çevirileri
Makale numarası: 968732 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

GİRİŞ

DNS sunucusuna yönelik güvenlik güncelleştirmesi yüklendikten sonra sunucu bilgisayarların yükleme sonrası davranışı

Bu Bilgi Bankası makalesinin amacı, kullanıcıları DNS sunucusu işlevselliğinde yakında gerçekleştirilecek bir değişiklikten etkilenecek senaryolar konusunda bilgilendirmektir. Bu belgenin olabildiğince genel olmasına çalışılmıştır. Lütfen bu makalenin tamamını okuyarak kuruluş ortamınızın bu güncelleştirmeden etkilenip etkilenmeyeceğini, etkilenecekse bunun ne şekilde olacağını öğrenin.

DNS sunucusuna yönelik güvenlik güncelleştirmesi hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
961063 MS09-008: DNS sunucusu güvenlik güncelleştirmesi: 10 Mart 2009'un açıklaması

Daha fazla bilgi

Tanım tablosu

Bu tabloyu kapaBu tabloyu aç
TerimTanımı
Etki Alanı Adı Sistemi (DNS)Etki Alanı Adı Sistemi, adları IP adreslerine ve IP adreslerini adlara çeviren bir Internet standardı protokolüdür.
WPADWeb Proxy Otomatik Bulma Protokolü
ISATAPSite İçi Otomatik Tünel Adres Protokolü

Güvenlik sorununa genel bakış

Internet Explorer ve benzer istemciler, Web Proxy Otomatik Bulma Protokolü'nü (WPAD) kullanarak bir proxy sunucu ararlar. İstemci bilgisayarlar ise ad WPAD'yi çözümleyerek ve DNS kullanarak WPAD sunucusunu ararlar. ISATAP (Site İçi Otomatik Tünel Adres Protokolü) bir IPv6 geçiş teknolojisidir. DNS İstemcileri, WPAD için kullanılan yönteme benzeyen ISATAP bulma işlemi gerçekleştirir. Şirket ağı içinde WPAD veya ISATAP girdisi kötü amaçlı olarak kaydettirilirse, saldırgan kötü amaçlı bir proxy yapılandırabilir. Bu güvenlik sorunu için geçici çözümler bulunmaktadır. Örneğin, DNS veritabanında bir ayrılmış ad ana bilgisayar girdisi kaydettirebilirsiniz. Yöneticinin bir IP adresi kaydettirmeden ana bilgisayar adını kaydettirerek ad ana bilgisayar girdisini ayırması gerekir.

Güvenlik güncelleştirmesi uygulandıktan sonra DNS'deki değişiklikler

DNS güvenlik güncelleştirmesi uygulandıktan sonra aşağıdaki DNS değişiklikleri gerçekleştirilir:
  • Güvenlik güncelleştirmesi, DNS tarafından kullanılacak bir engelleme listesini otomatik olarak oluşturur. Her ad sorgusu isteği, engelleme listesine bakılarak denetlenir ve engelleme listesinde bulunan ad sorgusu için olumsuz bir yanıt gönderilir.
  • Engelleme listesi varsayılanı, güncelleştirmenin çalıştırıldığı sırada sunucunun yetkili olduğu bölgelerdeki verilere bağımlıdır. Bölge verileri WPAD veya ISATAP girdilerini içermiyorsa, WPAD veya ISATAP girdileri engelleme listesine eklenir.
  • DNS veritabanında bu girdilerden biri zaten varsa, WPAD veya ISATAP girdileri engelleme listesine eklenmez.
  • Yönetici, engelleme listesini kayıt defterinden yapılandırabilir ve düzenleyebilir. Yeni engelleme listesinin kabul edilmesi için DNS hizmetinin yeniden başlatılması gerekir.
  • DNS, engelleme listesini sunucu tarafından barındırılan tüm bölgeler için geçerli kabul eder. WPAD ve ISATAP sorgularına bir bölgede izin verip bir başkasında engellemeniz mümkün değildir.
  • Engelleme listesi her sunucunun kayıt defterinde saklanır. Engelleme listesi girdileri birden çok sunucuya çoğaltılamaz.

Sık sorulan sorular

  1. DNS sunucumu LH sunucusuna yükseltirsem ne olur?
    Yanıt: WPAD ve ISATAP için geçerli girdiler kullanan bir DNS sunucusu önceden olduğu gibi çalışmaya devam eder.
  2. Engelleme listesi için kayıt defteri girdisinin konumu nedir?
    Yanıt: Engelleme listesi, aşağıdaki alt anahtarda bulunan GlobalQueryBlockList REG_MULTI_SZ girdisini kullanır:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Kayıt defterindeki engelleme listesi girdilerini silersem ne olur?
    Yanıt: Hizmeti yeniden başlatıldıktan sonra tüm WPAD ve ISATAP sorguları başarılı olur.
  4. GlobalQueryBlockList kayıt defteri anahtarını silersem ne olur?
    Yanıt: Hizmet yeniden başlatıldığında, anahtar yeniden eklenir ve varsayılan engelleme listesi değerleri yeniden doldurulur. TXT olmayan tüm WPAD ve ISATAP sorguları engellenir.
  5. Kayıt defterindeki engelleme listesine "contoso" girdisini eklersem ne olur?
    Yanıt: Girdi engelleme listesine eklendikten sonra, hizmet yeniden başlatılır başlatılmaz tüm bölgelerdeki contoso sorguları başarısız olur.
  6. DNS veritabanında contoso girdisi zaten varsa ve engelleme listesine de contoso girdisini eklersem ne olur?
    Yanıt: "contoso.bölgem.com" sorguları başarısız olur.
  7. Ağımda dağıttığım bir WPAD sunucusu var. Bu sorundan etkilenir miyim?
    Yanıt: Hayır. WPAD ağda dağıtılmışsa ve DNS'de ad WPAD zaten kaydettirilmişse engellenmez. Ancak WPAD ağda varsa ve DNS'de hiçbir girdi olmadan DHCP kullanarak wpad.dat dosyasını dağıtıyorsa, WPAD için DNS sorgusu engellenir.
  8. Engelleme listesini yapılandırmak için DNSCMD.exe kullanabilir miyim?
    Yanıt: Hayır. Yalnızca kayıt defterindeki engelleme listesini değiştirebilirsiniz.
  9. Engellenen girdilerin DNS sunucusunda kaydettirilmesi başarısız olur mu?
    Yanıt: Hayır. Engelleme listesi özelliğinin bir parçası olarak, kayıt işlemleri başarıyla gerçekleştirilir. Yalnızca engellenen girdilerin sorguları başarısız olur.
  10. Bu özellik yalnızca Ana Bilgisayar (tür A veya AAAA) sorgularını mı engelliyor?
    Yanıt: Hayır, engelleme listesindeki adlara yönelik tüm sorgular engellenir.

Özellikler

Makale numarası: 968732 - Last Review: 18 Ocak 2010 Pazartesi - Gözden geçirme: 4.0
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Service Pack 1, Ne zaman ne ile kullanilir:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2, Ne zaman ne ile kullanilir:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Service Pack 4, Ne zaman ne ile kullanilir:
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Anahtar Kelimeler: 
kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com