Změny v chování serveru DNS po instalaci aktualizace zabezpečení pro DNS server

ÚVOD

Chování při instalaci vystavit na server, který aktualizaci počítačů po instalaci zabezpečení serveru DNS

Účelem tohoto článku znalostní báze Knowledge Base je informovat uživatele o scénářích, které jsou ovlivněny nastávající změnou funkcí serveru DNS. Pokusili jsme se vytvořit tento článek co nejobecnější. Číst celý dokument a použijte jej, pokud a jak podnikovém prostředí může být touto aktualizací ovlivněny.

Další informace o zabezpečení služby DNS server aktualizace, získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
961063 MS09-008: Popis aktualizace zabezpečení pro DNS server: 10 března 2009

Další informace

Definice tabulky

TermínDefinice
Domain Name System (DNS)Domain Name System je standardní internetový protokol, který převádí názvy na adresy IP a naopak.
WPADWeb Proxy Auto-discovery Protocol
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

Přehled tohoto problému se zabezpečením

Aplikace Internet Explorer a podobní klienti vyhledat proxy server pomocí Web Proxy Auto-discovery Protocol (WPAD). Klientské počítače vyhledejte WPAD server pomocí překladu názvu WPAD a pomocí služby DNS. Protokol ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) je přenosová technologie IPv6. Klienti DNS provádějí zjišťování ISATAP, která je podobná metodě se používá pro funkci WPAD. Nebezpečná registrace položky WPAD nebo ISATAP v rámci podnikové sítě může umožnit útočníkovi nebezpečný proxy konfigurace. Existují zástupná řešení pro problém zabezpečení. Lze například zaregistrovat rezervovanou hostitele položku pro název v databázi DNS. Správce musí zaregistrovat název hostitele bez registrace adresy IP rezervace a tím položku pro název hostitele.




Změny DNS po instalaci aktualizace zabezpečení

Následující změny DNS dojde po instalaci aktualizace zabezpečení služby DNS:

  • Aktualizace zabezpečení automaticky vytvoří seznam blokování, který bude použit službou DNS. Každá žádost název dotazu je zkontrolována podle seznamu blokování a záporná odpověď je odeslána bloku uvedený název dotazu.
  • Výchozí seznam blokování závisí na datech v zónách, které tento server je směrodatný pro aktualizaci při spuštění. Pokud data zóny neobsahuje položky pro názvy WPAD nebo ISATAP, položkami WPAD nebo ISATAP naplněn v seznamu blokování.
  • Pokud databáze DNS již některé z těchto položek, nejsou v seznamu blokování naplněn položkami WPAD nebo ISATAP.
  • Správce může nakonfigurovat a upravit seznam blokování v registru. Služba DNS je třeba znovu spustit pro přijetí nového seznamu blokování.
  • V rámci služby DNS seznam blokování platí pro všechny zóny hostované serverem. Pro dotazy na položky WPAD a ISATAP v jedné zóně nelze povolit, ale nikoli o jinou.
  • Seznam blokování je uložen v registru pro každý server. Není blok k replikaci položek seznamu mezi více serverů.

Často kladené dotazy

  1. Co se stane, je-li provést upgrade serveru DNS na LH server?
    Odpověď: Server DNS, který používá platné položky WPAD a ISATAP budou nadále fungovat stejně jako dříve.
  2. Co je umístění položky registru pro seznam blokování?
    Odpověď:
    Seznam blokování používá položku GlobalQueryBlockList REG_MULTI_SZ v následujícím podklíči:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Co dělat v případě odstranění položek seznamu blokování v registru?
    Odpověď: Po restartování služby, budou všechny dotazy na položky WPAD a ISATAP úspěšné.
  4. Co se stane, když odstraním klíč registru GlobalQueryBlockList?

    Odpověď: Po restartování služby klíč je přidán zpět a znovu naplněn výchozí hodnoty seznamu blokování. TXT WPAD a ISATAP dotazy budou blokovány.
  5. Jak postupovat, pokud do seznamu blokování v registru přidat položku "contoso"?
    Odpověď: Po přidání položky do seznamu blokování, všechny dotazy na contoso v každé zóně se nezdaří po restartování služby.
  6. Co se stane, pokud již mám položku contoso v databázi DNS a také přidat do seznamu blokovaných contoso?
    Odpověď: Dotazy na "contoso. myzone.com"se nezdaří.
  7. Mám server WPAD nasazen v síti. I ovlivní?
    Odpověď: Ne. Pokud je v síti nasazen protokol WPAD a již název zapsaný WPAD ve službě DNS, potom nebude blokována. Však pokud máte v síti protokol WPAD a využívá protokol DHCP k distribuci souboru wpad.dat položky DNS, potom dotaz DNS pro funkci WPAD budou blokovány.
  8. Chcete-li nakonfigurovat seznam blokování, použijte DNSCMD.exe?
    Odpověď: Ne. Lze změnit pouze v seznamu blokování v registru.
  9. Registrace pro blokované položky selhání serveru DNS by?
    Odpověď: Ne. Jako součást funkce seznamu blokování bude úspěšné registrace. Pouze dotazy na blokované položky se nezdaří.
  10. Jsou touto funkcí blokovány pouze dotazy hostitele (typ A nebo AAAA)?
    Odpověď: Ne, jsou blokovány všechny druhy dotazy na názvy v seznamu blokování.
Vlastnosti

ID článku: 968732 - Poslední kontrola: 13. 1. 2017 - Revize: 2

Váš názor