أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

التغييرات التي تم إجراؤها على سلوك ملقم DNS بعد تثبيت التحديث الأمني لملقم DNS

انتهاء دعم نظام التشغيل Windows XP

لقد أنهت شركة Microsoft دعم Windows XP في 8 أبريل، 2014. وقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

مقدمة

نشر سلوك التثبيت على أجهزة كمبيوتر الملقم بعد تثبيت التحديث الأمني لملقم DNS

يكمن الهدف من مقالة قاعدة المعارف هذه في إعلام المستخدمين بالسيناريوهات المتأثرة بواسطة تغيير وشيك الحدوث في وظيفة ملقم DNS. تم إجراء محاولة لجعل هذا المستند كمقالة عامة بقدر الإمكان. الرجاء قراءة هذا المستند بأكمله واستخدامه لمعرفة ما إذا قد تأثرت بيئة المؤسسة الخاصة بك بهذا التحديث أم لا وكيفية حدوث ذلك.

لمزيد من المعلومات حول التحديث الأمني لملقم DNS، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft" :
961063MS09-008: وصف التحديث الأمني لخادم DNS: ١٠ مارس ٢٠٠٩
معلومات أخرى

جدول التعريفات

المصطلحالتعريف
نظام أسماء المجالات (DNS)نظام أسماء المجالات هو بروتوكول إنترنت قياسي يترجم الأسماء إلى عناوين IP والعكس.
WPADبروتوكول Web Proxy Auto-discovery (الاكتشاف التلقائي لخادم الويب)
ISATAPبروتوكول Intra-Site Automatic Tunnel Addressing (عنونة النفق تلقائياً بين المواقع)

نظرة عامة حول المشكلة الأمنية

يقوم برنامج Internet Explorer والأجهزة العميلة المشابهة بالبحث عن خادم وكيل باستخدام بروتوكول Web Proxy Auto Discovery‏ (WPAD) (الاكتشاف التلقائي لخادم الويب). تبحث أجهزة الكمبيوتر العميلة عن ملقم WPAD عن طريق تحليل الاسم WPAD واستخدام DNS. بروتوكول عنونة النفق تلقائياً بين المواقع (ISATAP) هو تقنية انتقال لـ IPv6. تقوم أجهزة DNS العميلة باكتشاف بروتوكول ISATAP، بنفس الطريقة المستخدمة لاكتشاف بروتوكول WPAD. قد يسمح التسجيل غير الشرعي لإدخال WPAD أو ISATAP داخل شبكة إحدى الشركات لأحد المهاجمين بتكوين وكيل ضار. هناك حلول بديلة للمشكلة الأمنية. على سبيل المثال، يمكنك تسجيل إدخال مضيف اسم محجوز في قاعدة بيانات DNS. يجب أن يقوم المسؤول بتسجيل اسم المضيف بدون تسجيل عنوان IP، وبذلك يتم حجز إدخال مضيف الاسم.

التغييرات التي يتم إجراؤها على DNS بعد تطبيق التحديث الأمني

تحدث التغييرات التالية التي يتم إجراؤها على DNS بعد تطبيق التحديث الأمني لـ DNS:
  • يقوم التحديث الأمني تلقائيًا بإنشاء قائمة الحظر التي سيتم استخدامها بواسطة DNS. تم فحص كل طلب استعلام اسم وفقًا لقائمة الحظر ويتم إرسال استجابة سلبية لاستعلام الاسم المُسرد في قائمة الحظر.
  • يعتمد الإعداد الافتراضي لقائمة الحظر على البيانات الموجودة في المناطق التي يكون الملقم موثوقًا فيها في حالة تشغيل التحديث. في حالة عدم احتواء بيانات المناطق على إدخالات WPAD أو ISATAP، يتم ملء إدخالات WPAD أو ISATAP في قائمة الحظر.
  • في حالة وجود أحد هذه الإدخالات بالفعل في قاعدة بيانات DNS، لن يتم ملء إدخالات WPAD أو ISATAP في قائمة الحظر.
  • يمكن للمسؤول تكوين قائمة الحظر الموجودة في السجل وتحريرها. يجب إعادة تشغيل خدمة DNS لقبول قائمة الحظر الجديدة.
  • بالنسبة لـ DNS، تنطبق قائمة الحظر على كافة المناطق التي تمت استضافتها بواسطة الملقم. لا يمكنك السماح بوجود استعلامات WPAD وISATAP في منطقة واحدة ولا يمكنك السماح للاستعلامات الأخرى.
  • يتم تخزين قائمة الحظر في السجل الخاص بكل ملقم. لا توجد نسخة متماثلة من إدخالات قائمة الحظر عبر ملقمات متعددة.

الأسئلة المتداولة

  1. ماذا يحدث في حالة ترقية ملقم DNS الخاص بي إلى ملقم LH؟
    جواب: سيستمر ملقم DNS الذي يستخدم إدخالات صالحة من WPAD وISATAP في العمل كما كان في الماضي.
  2. أين يوجد موقع إدخال السجل الخاص بقائمة الحظر؟
    جواب: تستخدم قائمة الحظر الإدخال GlobalQueryBlockList REG_MULTI_SZ في المفتاح الفرعي التالي:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. ماذا يحدث في حالة حذف إدخالات قائمة الحظر الموجودة في السجل؟
    جواب: ستنجح كافة الاستعلامات إلى WPAD وISATAP بعد إعادة تشغيل الخدمة.
  4. ما الذي سيحدث إذا تم حذف مفتاح التسجيل GlobalQueryBlockList؟
    جواب: عند إعادة تشغيل الخدمة، تتم إضافة المفتاح مرة أخرى، ثم تتم إعادة ملء القيم الافتراضية لقائمة الحظر. سيتم حظر كافة الاستعلامات بخلاف TXT WPAD وISATAP.
  5. ماذا يحدث في حالة إضافة إدخال "contoso" إلى قائمة الحظر في السجل؟
    جواب: بعد إضافة الإدخال في قائمة الحظر، ستفشل كافة الاستعلامات إلى contoso في أية منطقة بمجرد إعادة تشغيل الخدمة.
  6. ماذا يحدث في حالة وجود إدخال contoso بالفعل في قاعدة بيانات DNS وإضافة contoso أيضًا إلى القائمة الممنوعة؟
    جواب: ستفشل الاستعلامات إلى "contoso.myzone.com".
  7. يوجد لدي ملقم WPAD تم توزيعه في الشبكة الخاصة بي. هل سيؤثر ذلك عليّ؟
    جواب: لا. في حالة توزيع WPAD في إحدى الشبكات، ويوجد لديك الاسم WPAD المسجَّل في DNS بالفعل، لن يتم حظره. ومع ذلك، في حالة وجود WPAD في الشبكة ويستخدم DHCP لتوزيع الملف wpad.dat بدون شيء في DNS، سيتم حظر الاستعلام DNS الخاص بـ WPAD.
  8. هل يمكن استخدام DNSCMD.exe لتكوين قائمة الحظر؟
    جواب: لا. يمكنك فقط تغيير قائمة الحظر الموجودة في السجل.
  9. هل سيفشل تسجيل الإدخالات الممنوعة في ملقم DNS؟
    جواب: لا. كجزء من ميزة قائمة الحظر، ستنجح التسجيلات. بينما ستفشل الاستعلامات الخاصة بالإدخالات الممنوعة فقط.
  10. هل سيتم حظر استعلامات المضيف (نوع A أو AAAA) فقط بواسطة هذه الميزة؟
    جواب: لا، يتم حظر كافة أنواع الاستعلامات الخاصة بالأسماء الموجودة في قائمة الحظر.
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE WinNT Win2000
خصائص

رقم الموضوع: 968732 - آخر مراجعة: 01/18/2010 15:24:12 - المراجعة: 4.0

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Service Pack 4

  • kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
تعليقات
0&did=1&t=">