Teď jste offline a čekáte, až se znova připojí internet.

Váš prohlížeč není podporovaný.

Pokud chcete používat tento web, musíte si aktualizovat prohlížeč.

Aktualizovat na nejnovější verzi Internet Exploreru

Změny v chování serveru DNS po instalaci aktualizace zabezpečení pro server DNS

Podpora Windows XP byla ukončena.

Společnost Microsoft ukončila dne 8. dubna 2014 podporu Windows XP. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

ÚVOD

Chování serverových počítačů po instalaci aktualizace zabezpečení serveru DNS

Cílem tohoto článku znalostní báze Knowledge Base je seznámit uživatele se scénáři, které jsou ovlivněny nastávající změnou funkcí serveru DNS. Pokusili jsme se vytvořit tento článek co nejobecnější. Přečtěte si jej celý a pokuste se pochopit, zda a jak bude vaše podnikové prostředí ovlivněno touto aktualizací.

Další informace o této aktualizaci zabezpečení serveru DNS naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
961063MS09-008: Popis aktualizace zabezpečení pro server DNS: 10. března 2009
Další informace

Tabulka definic

TermínDefinice
DNS (Domain Name System)DNS je standardní internetový protokol, který převádí názvy na IP adresy a naopak.
WPADWeb Proxy Auto-discovery Protocol
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

Přehled tohoto problému se zabezpečením

Aplikace Internet Explorer a podobní klienti hledají proxy server pomocí protokolu WPAD (Web Proxy Auto-discovery Protocol). Klientské počítače hledají server WPAD pomocí překladu názvu WPAD a pomocí služby DNS. Protokol ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) je přenosová technologie IPv6. Klienti DNS provádějí zjišťování ISATAP, které je obdobou metody používané pro protokol WPAD. Nebezpečná registrace položky WPAD nebo ISATAP v rámci podnikové sítě může útočníkovi umožnit nakonfigurovat proxy server se zlými úmysly. Pro tyto potíže zabezpečení existuje několik alternativních řešení. Můžete například v databázi DNS zaregistrovat rezervovanou položku pro název hostitele. Správce musí zaregistrovat název hostitele bez registrace IP adresy, a tím položku názvu hostitele rezervuje.

Změny služby DNS po instalaci aktualizace zabezpečení

Po instalaci aktualizace zabezpečení služby DNS dojde k následujícím změnám služby DNS:
  • Aktualizace zabezpečení automaticky vytvoří seznam blokování, který bude použit službou DNS. Každá žádost s dotazem na název je zkontrolována podle seznamu blokování a v případě dotazu na název uvedený v seznamu blokování je odeslána negativní odpověď.
  • Výchozí nastavení seznamu blokování závisí na datech v zónách, pro něž je daný server autoritativní při spuštění aktualizace. Pokud data zóny neobsahují položky pro názvy WPAD nebo ISATAP, bude seznam blokování naplněn položkami WPAD nebo ISATAP.
  • Pokud databáze DNS již některé z těchto položek obsahuje, nebude seznam blokování položkami WPAD nebo ISATAP naplněn.
  • Správce může nakonfigurovat a upravit seznam blokování v registru. Nový seznam blokování je použit až po restartování služby DNS.
  • V případě služby DNS se seznam blokování vztahuje na všechny zóny, jichž je daný server hostitelem. Nelze povolit dotazy na položky WPAD či ISATAP pouze v některých zónách, a v jiných nikoli.
  • Seznam blokování je pro každý server uložen v registru. K replikaci položek seznamu blokování mezi servery nedochází.

Nejčastější dotazy

  1. Co se stane po upgradu serveru DNS na server LH?
    Odpověď: Server DNS, který používá platné položky pro názvy WPAD a ISATAP, bude fungovat stejně jako dříve.
  2. Jaké je umístění položky registru pro seznam blokování?
    Odpověď: Seznam blokování používá položku GlobalQueryBlockList REG_MULTI_SZ v následujícím podklíči:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Co se stane, pokud odstraním položky seznamu blokování v registru?
    Odpověď: Po restartování služby budou všechny dotazy na položky WPAD a ISATAP úspěšné.
  4. Co se stane při odstranění klíče registru GlobalQueryBlockList?
    Odpověď: Po restartování služby je tento klíč přidán zpět a jsou znovu naplněny výchozí hodnoty seznamu blokování. Všechny dotazy na netextové položky WPAD a ISATAP budou blokovány.
  5. Co se stane, pokud do seznamu blokování v registru přidám položku contoso?
    Odpověď: Po přidání této položky do seznamu blokování všechny dotazy na název contoso v libovolné zóně selžou, jakmile bude služba restartována.
  6. Co se stane, pokud databáze DNS již obsahuje položku pro název contoso a položka contoso je rovněž přidána do seznamu blokování?
    Odpověď: Dotazy na název contoso.moje_zóna.com selžou.
  7. V síti je nasazen server WPAD. Dojde k ovlivnění?
    Odpověď: Ne. Pokud je v síti nasazen server WPAD a ve službě DNS je již zaregistrován název WPAD, nebude blokován. Pokud je server WPAD nasazen v síti a využívá protokol DHCP k distribuci souboru wpad.dat, který neobsahuje položky DNS, budou dotazy DNS na položku WPAD blokovány.
  8. Lze ke konfiguraci seznamu blokování používat soubor DNSCMD.exe?
    Odpověď: Ne. Seznam blokování lze upravit pouze v registru.
  9. Dojde k selhání registrace blokovaných položek na serveru DNS?
    Odpověď: Ne. Registrace položek uvedených v seznamu blokování proběhnou úspěšně. Pouze dotazy na blokované položky selžou.
  10. Jsou touto funkcí blokovány pouze dotazy na hostitele (typ A nebo AAAA)?
    Odpověď: Ne, jsou blokovány všechny typy dotazů na názvy uvedené v seznamu blokování.
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE WinNT Win2000
Vlastnosti

ID článku: 968732 - Poslední kontrola: 01/18/2010 12:15:37 - Revize: 4.0

  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Microsoft Windows 2000 Service Pack 4
  • kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
Váš názor
>ascript' src='" + (window.location.protocol) + "//c.microsoft.com/ms.js'><\/script>");