Ændringer af DNS-serverens funktionsmåde, efter du har installeret sikkerhedsopdateringen til DNS-server

Support til Windows XP er ophørt

Microsoft ophørte med at yde support til Windows XP den 8. april 2014. Denne ændring har haft indflydelse på dine softwareopdateringer og sikkerhedsindstillinger. Se, hvad det betyder for dig, og hvordan du kan forblive beskyttet.

Support til Windows Server 2003 ophørte den 14. juli 2015

Microsoft afsluttede support til Windows Server 2003 den 14. juli 2015. Denne ændring har haft indflydelse på dine softwareopdateringer og sikkerhedsindstillinger. Se, hvad det betyder for dig, og hvordan du kan forblive beskyttet.

INTRODUKTION

Servercomputernes funktionsmåde, efter du har installeret sikkerhedsopdateringen til DNS-serveren

Formålet med denne Knowledge Base-artikel er at oplyse brugere om de scenarier, der påvirkes af en nært forestående ændring af DNS-serverens funktionalitet. Vi har forsøgt at gøre dette dokument så generisk som muligt. Læs hele dokumentet, og brug det til at få kendskab til, om og hvordan dit virksomhedsmiljø kan blive påvirket af denne opdatering.

Du finder flere oplysninger om sikkerhedsopdateringen til DNS-serveren ved at klikke på følgende artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
961063MS09-008: Beskrivelse af sikkerhedsopdateringen til DNS-server: 10. marts 2009
Yderligere Information

Definitionstabel

TermDefinition
DNS (Domain Name System)Domain Name System er en internetprotokol, der oversætter navne til IP-adresser og omvendt.
WPADWeb Proxy Auto-discovery Protocol
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

En oversigt over sikkerhedsproblemet

Internet Explorer og lignende klienter søger efter en proxyserver ved hjælp af WPAD (Web Proxy Auto-discovery Protocol). Klientcomputere søger efter WPAD-serveren ved at fortolke navnet WPAD og ved hjælp af DNS. ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) er en IPv6-overgangsteknologi. DNS-klienter foretager ISATAP-registrering, hvilket svarer til den metode, der bruges i forbindelse med WPAD. Skadelig registrering af en WPAD- eller ISATAP-post i et virksomhedsnetværk kan give en hacker mulighed for at konfigurere en skadelig proxy. Der findes løsninger på dette sikkerhedsproblem. Du kan f.eks. registrere en reserveret navneværtspost i DNS-databasen. Administratoren skal registrere værtsnavnet uden at registrere en IP-adresse og dermed reservere navneværtsposten.

Ændringer af DNS, efter du har installeret sikkerhedsopdateringen

Der forekommer følgende ændringer af DNS, efter du har installeret sikkerhedsopdateringen til DNS:
  • Sikkerhedsopdateringen opretter automatisk en liste over blokerede elementer, som vil blive brugt DNS. Alle navneforespørgsler kontrolleres i forhold til listen over blokerede elementer, og der sendes et negativt svar i forbindelse med en forespørgsel på et navn, der findes på listen over blokerede elementer.
  • Standardværdien for listen over blokerede elementer afhænger af dataene i de zoner, som serveren er autoritativ for, når opdateringen køres. Hvis zonedataene ikke indeholder poster for WPAD eller ISATAP, anføres posterne for WPAD eller ISATAP automatisk på listen over blokerede elementer.
  • Hvis DNS-databasen allerede indeholder nogle af disse poster, anføres posterne WPAD eller ISATAP ikke automatisk på listen over blokerede elementer.
  • Administratoren kan konfigurere og redigere listen over blokerede elementer i registreringsdatabasen. DNS-tjenesten skal genstartes, inden den accepterer den nye liste over blokerede elementer.
  • I forbindelse med DNS gælder listen over blokerede elementer for alle de zoner, som serveren er vært for. Du kan ikke tillade WPAD- og ISATAP-forespørgsler i én zone, men ikke i en anden.
  • Listen over blokerede elementer gemmes i registreringsdatabasen for hver server. Der foretages ingen replikering af poster på listen over blokerede elementer på tværs af flere servere.

Ofte stillede spørgsmål

  1. Hvad sker der, hvis jeg opgraderer min DNS-server til LH-server?
    Svar: En DNS-server, der benytter gyldige poster for WPAD og ISATAP, vil fortsætte med at fungere som tidligere.
  2. Hvor placeres posten for listen over blokerede elementer i registreringsdatabasen?
    Svar: Listen over blokerede elementer bruger posten GlobalQueryBlockList REG_MULTI_SZ i følgende undernøgle:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Hvad sker der, hvis jeg sletter posterne på listen over blokerede elementer i registreringsdatabasen?
    Svar: Alle forespørgsler til WPAD og ISATAP gennemføres, når tjenesten er blevet genstartet.
  4. Hvad sker der, hvis jeg sletter nøglen GlobalQueryBlockList i registreringsdatabasen?
    Svar: Når tjenesten genstartes, tilføjes nøglen igen, og standardværdierne for listen over blokerede elementer angives igen. Alle forespørgsler, som ikke er TXT WPAD- og ISATAP-forespørgsler, blokeres.
  5. Hvad sker der, hvis jeg føjer posten "contoso" til listen over blokerede elementer i registreringsdatabasen?
    Svar: Når du har tilføjet posten på listen over blokerede elementer, vil alle forespørgsler til contoso i alle zoner mislykkes, så snart tjenesten genstartes.
  6. Hvad sker der, hvis der allerede findes en post for contoso i DNS-databasen, og jeg også tilføjer contoso på listen over blokerede elementer?
    Svar: Forespørgsler til "contoso.myzone.com" vil mislykkes.
  7. Jeg har installeret en WPAD-server i mit netværk. Bliver jeg berørt?
    Svar: Nej. Hvis du har installeret WPAD i et netværk, og navnet WPAD allerede er registreret i DNS, blokeres WPAD ikke. Men hvis du har installeret WPAD i netværket, og WPAD bruger DHCP til at distribuere wpad.dat-filen, uden at der er registreret noget i DNS, blokeres DNS-forespørgslen om WPAD.
  8. Kan jeg bruge DNSCMD.exe til at konfigurere listen over blokerede elementer?
    Svar: Nej. Du kan kun ændre listen over blokerede elementer i registreringsdatabasen.
  9. Vil registreringen af blokerede poster mislykkes i DNS-serveren?
    Svar: Nej. Det vil lykkes at foretage registreringer, som er en del af funktionen for listen over blokerede elementer. Kun forespørgsler om de blokerede poster vil mislykkes.
  10. Er det kun værtsforespørgsler (type A eller AAAA), der blokeres af denne funktion?
    Svar: Nej, alle former for forespørgsler om navnene på listen over blokerede elementer blokeres.
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE WinNT Win2000
Egenskaber

Artikel-id: 968732 – Seneste udgave 01/18/2010 15:24:12 – Udgave 4.0

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Service Pack 4

  • kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
Feedback