安裝 DNS 伺服器安全性更新之後,DNS 伺服器行為的變更

文章翻譯 文章翻譯
文章編號: 968732 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

在安裝 DNS 伺服器安全性更新後的伺服器電腦安裝後行為

本知識庫文件的目的是為了讓使用者了解受到 DNS 伺服器功能近期改變所影響的情況。我們儘可能嘗試讓本文件一般化。請完整閱讀本文件,並利用它來瞭解您的企業環境是否及如何受到此更新的影響。

如需有關 DNS 伺服器安全性更新的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
961063 MS09-008:說明 DNS 伺服器的安全性更新:2009 年 3 月 10 日

其他相關資訊

定義表

摺疊此表格展開此表格
詞彙定義
網域名稱系統 (DNS)網域名稱系統是網際網路標準通訊協定,可將名稱轉譯成 IP 位址,也可反向轉譯。
WPADWeb Proxy 自動尋找通訊協定
ISATAP內部網站自動通道定址通訊協定

安全性問題概觀

Internet Explorer 與類似用戶端會使用 Web Proxy 自動尋找 (WPAD) 通訊協定來搜尋 Proxy 伺服器。用戶端電腦會藉由解析名稱 WPAD 和使用 DNS 來尋找 WPAD 伺服器。ISATAP (內部網站自動通道定址通訊協定) 是 IPv6 轉換技術。DNS 用戶端會執行 ISATAP 探索,此方法與用於 WPAD 的方法類似。 在公司網路內部惡意登錄 WPAD 或 ISATAP 項目會讓攻擊者設定惡意 Proxy。已有這個安全性問題的因應措施。例如,您可以在 DNS 資料庫中登錄保留的名稱主機項目。系統管理員必須登錄主機名稱,而不登錄 IP 位址,因此保留名稱主機項目。

在套用安全性更新後對 DNS 的變更

在套用 DNS 安全性更新後,會發生下列 DNS 的變更:
  • 安全性更新會自動建立一個由 DNS 使用的封鎖清單。系統會對照封鎖清單檢查每個名稱查詢要求,並針對所列的名稱查詢封鎖傳送負值回應。
  • 執行更新時,封鎖清單預設值是依伺服器所授權的區域資料而定。如果區域資料沒有包含 WPAD 或 ISATAP 項目,則會在封鎖清單中填入 WPAD 或 ISATAP 項目。
  • 如果 DNS 資料庫已經有任何上述的項目,則 WPAD 或 ISATAP 項目不會填入封鎖清單中。
  • 系統管理員可以設定和編輯登錄中的封鎖清單。DNS 服務必須重新啟動,才能接受新的封鎖清單。
  • 對於 DNS,封鎖清單會套用到伺服器所主控的所有區域。您不允許在一個區域中查詢 WPAD 與 ISATAP,但另一個區域則允許。
  • 封鎖清單儲存在每個伺服器的登錄中。封鎖清單項目不會複寫到多個伺服器上。

常見問題集

  1. 如果我將 DNS 伺服器升級至 LH 伺服器,會發生什麼狀況?
    回答: 使用 WPAD 和 ISATAP 有效項目的 DNS 伺服器會如同以往般的繼續運作。
  2. 封鎖清單登錄項目的位置為何?
    回答: 封鎖清單使用下列子機碼中的 GlobalQueryBlockList REG_MULTI_SZ 項目:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. 如果我把登錄中的封鎖清單項目刪除了,會發生什麼狀況?
    回答: 所有 WPAD 和 ISATAP 的查詢將於服務啟動後成功執行。
  4. 如果我刪除了 GlobalQueryBlockList 登錄機碼,會發生什麼狀況?
    回答: 服務啟動後,機碼會新增回來,且預設的封鎖清單值會重新填入。所有非 TXT 的 WPAD 及 ISATAP 查詢將會被封鎖。
  5. 如果我把 "contoso" 項目新增到封鎖清單中,會發生什麼狀況?
    回答: 在封鎖清單中新增該項目後,只要服務重新啟動,所有任何區域中對 contoso 的查詢都會失敗。
  6. 如果我的 DNS 資料庫中已經有 contoso 項目,我也在封鎖清單中新增了 contoso,會發生什麼狀況?
    回答: 對 "contoso.myzone.com" 的查詢會失敗。
  7. 我已在網路上部署了 WPAD 伺服器,我會受到影響嗎?
    回答: 不會。如果您在網路上已部署 WPAD,且您在 DNS 中已登錄名稱 WPAD,則不會封鎖它。但是如果您在網路上有 WPAD,而 WPAD 使用 DHCP 來散佈 wpad.dat 檔,且 DNS 中沒有任何項目,則會封鎖 DNS 對 WPAD 的查詢。
  8. 我可以使用 DNSCMD.exe 來設定封鎖清單嗎?
    回答: 不可以。您只能變更登錄中的封鎖清單。
  9. 在 DNS 伺服器中登錄已封鎖的項目會失敗嗎?
    回答: 不會。登錄會成功,因為這是封鎖清單功能的一部分。只有查詢已封鎖的項目才會失敗。
  10. 只有主機 ( A 或 AAAA 型) 查詢會被此功能封鎖嗎?
    回答: 不是。對封鎖清單中名稱的所有種類查詢都會被封鎖。

屬性

文章編號: 968732 - 上次校閱: 2010年1月18日 - 版次: 4.0
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003 Service Pack 1?應用於:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2?應用於:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Service Pack 4?應用於:
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
關鍵字:?
kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com