Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Änderungen am DNS-Serververhalten nach Installation des Sicherheitsupdates für DNS-Server

Der Support für Windows XP wurde eingestellt

Microsoft stellte am 8. April 2014 den Support für Windows XP ein. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

EINFÜHRUNG

Verhalten von Servercomputern nach Installation des Sicherheitsupdates für DNS-Server

Der Zweck dieses Knowledge Base-Artikels besteht darin, die Benutzer über Szenarien zu informieren, die von einer bevorstehenden Änderung an der DNS-Serverfunktionalität betroffen sind. Dieser Artikel wurde so allgemein wie möglich formuliert. Lesen Sie bitte den vollständigen Artikel, um zu bestimmen, ob und wie Ihre Unternehmensumgebung von diesem Update betroffen sein kann.

Weitere Informationen zum Sicherheitsupdate für DNS-Server finden Sie im folgenden Artikel der Microsoft Knowledge Base:
961063MS09-008: Hinweise zum Sicherheitsupdate für DNS-Server vom 10. März 2009
Weitere Informationen

Definitionstabelle

BegriffDefinition
DNS (Domain Name System)DNS (Domain Name System) ist ein Internetstandardprotokoll, das Namen in IP-Adressen übersetzt und umgekehrt.
WPADWeb Proxy Auto-Discovery-Protokoll
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

Ein Überblick über die Sicherheitsprobleme

Internet Explorer und ähnliche Clients suchen anhand des WPAD-Protokolls (Web Proxy Auto-Discovery) nach Proxyservern. Clientcomputer suchen nach WPAD-Servern, indem sie den Namen WPAD unter Verwendung von DNS auflösen. ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) ist eine IPv6-Übergangstechnologie. DNS-Clients führen ISATAP-Erkennung aus, was der für WPAD verwendeten Methode gleicht. Eine in böswilliger Absicht vorgenommene Registrierung eines WPAD- oder ISATAP-Eintrags innerhalb eines Unternehmensnetzwerks kann einem Angreifer ermöglichen, einen Proxy zu konfigurieren und zu böswilligen Zwecken zu nutzen . Es gibt Möglichkeiten, dieses Sicherheitsproblem zu umgehen. Sie können beispielsweise in der DNS-Datenbank einen reservierten Namenshosteintrag registrieren. Der Administrator muss den Hostnamen ohne eine IP-Adresse registrieren, wodurch der Namenshosteintrag reserviert wird.

Änderungen an DNS nach Installation des Sicherheitsupdates

Die folgenden Änderungen an DNS erfolgen nach Installation des DNS-Sicherheitsupdates:
  • Das Sicherheitsupdate erstellt automatisch eine Sperrliste, die von DNS verwendet wird. Jede Namensabfrageanforderung wird mit der Sperrliste verglichen, und für die in der Sperrliste enthaltenen Namensabfragen wird eine negative Antwort gesendet.
  • Die Standardwerte der Sperrliste hängen von den Daten in den Zonen ab, für die der Server bei Ausführung des Updates autorisiert ist. Wenn die Zonendaten keine Einträge für WPAD oder ISATAP enthalten, werden die WPAD- oder ISATAP-Einträge in der Sperrliste gefüllt.
  • Wenn die DNS-Datenbank bereits einen dieser Einträge enthält, werden die WPAD- oder ISATAP-Einträge in der Sperrliste nicht gefüllt.
  • Der Administrator kann die Sperrliste in der Registrierung konfigurieren und bearbeiten. Der DNS-Dienst muss neu gestartet werden, um die neue Sperrliste anzunehmen.
  • Für DNS gilt die Sperrliste für alle vom Server gehostete Zonen. Sie können keine WPAD- und ISATAP-Abfragen in einer Zone zulassen und in einer anderen blocken.
  • Die Sperrliste wird in der Registrierung jedes einzelnen Servers gespeichert. Es erfolgt keine Replikation der Sperrliste auf mehrere Server.

Häufig gestellte Fragen

  1. Was geschieht, wenn ich meinen DNS-Server auf einen LH-Server aktualisiere?
    Antwort: Ein DNS-Server mit gültigen WPAD- und ISATAP-Einträgen funktioniert unverändert.
  2. Wo befindet sich der Registrierungseintrag für die Sperrliste?
    Antwort: Die Sperrliste verwendet den Eintrag GlobalQueryBlockList REG_MULTI_SZ im folgenden Unterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Was geschieht, wenn ich die Einträge der Sperrliste aus der Registrierung lösche?
    Antwort: Alle Abfragen an WPAD und ISATAP werden nach einem Neustart des Diensts erfolgreich ausgeführt.
  4. Was geschieht, wenn ich den Registrierungsschlüssel "GlobalQueryBlockList" lösche?
    Antwort: Nach dem Neustart des Diensts wird der Schlüssel wieder hinzugefügt und mit den Standardwerten der Sperrliste gefüllt. Alle WPAD- und ISATAP-Abfragen in einem anderen als dem TXT-Format werden geblockt.
  5. Was geschieht, wenn ich einen Eintrag "contoso" zur Sperrliste in der Registrierung hinzufüge?
    Antwort: Nachdem Sie den Eintrag zur Sperrliste hinzugefügt haben und der Dienst neu gestartet wurde, schlagen alle Abfragen nach "contoso" in allen Zonen fehl.
  6. Was geschieht, wenn in der DNS-Datenbank bereits ein Eintrag für "contoso" vorhanden ist und ich "contoso" auch zur Sperrliste hinzufüge?
    Antwort: Abfragen nach "contoso.eigeneZone.com" schlagen fehl.
  7. Ich habe in meinem Netzwerk einen WPAD-Server bereitgestellt. Bin ich betroffen?
    Antwort: Nein. Wenn Sie WPAD in einem Netzwerk bereitstellen und den Namen WPAD bereits in DNS registriert haben, wird dieser nicht geblockt. Verwenden Sie jedoch WPAD im Netzwerk, und wird die Datei "wpad.dat" mit DHCP verteilt, ohne dass ein Eintrag in DNS vorliegt, wird die DNS-Abfrage nach WPAD geblockt.
  8. Kann ich "DNSCMD.exe" zum Konfigurieren der Sperrliste verwenden?
    Antwort: Nein. Sie können die Sperrliste nur in der Registrierung ändern.
  9. Würde die Registrierung geblockter Einträge im DNS-Server fehlschlagen?
    Antwort: Nein. Im Rahmen der Sperrlistenfunktion wird die Registrierung erfolgreich vorgenommen. Nur Abfragen nach den geblockten Einträgen schlagen fehl.
  10. Werden nur Host-Abfragen (Typ A oder AAAA) von diesem Feature geblockt?
    Antwort: Nein, alle Arten von Abfragen nach in der Sperrliste enthaltenen Namen werden geblockt.
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE WinNT Win2000
Eigenschaften

Artikelnummer: 968732 – Letzte Überarbeitung: 01/18/2010 15:24:12 – Revision: 4.0

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Service Pack 4

  • kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
Feedback
/html>>ms.js"> ne; " src="https://c1.microsoft.com/c.gif?DI=4050&did=1&t=">/body>html>