Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Cambios en el comportamiento del servidor DNS después de instalar la actualización de seguridad para el servidor DNS

Ha finalizado el soporte técnico para Windows XP

Microsoft puso fin al soporte técnico para Windows XP el 8 de abril de 2014. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

El soporte técnico para Windows Server 2003 finalizó el 14 de julio de 2015

Microsoft finalizó el soporte técnico para Windows Server 2003 el 14 de julio de 2015. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

INTRODUCCIÓN

Comportamiento posterior a la instalación en equipos servidor tras instalar la actualización de seguridad del servidor DNS

: la finalidad de este artículo de Knowledge Base es mostrar a los usuarios los casos afectados por un cambio inminente en la funcionalidad del servidor DNS. Hemos intentado redactar este documento de la forma más genérica posible. Lea todo el documento y utilícelo para determinar si su entorno empresarial podría verse afectado por esta actualización y cómo le afectaría.

Para obtener más información acerca de la actualización de seguridad del servidor DNS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
961063MS09-008: Descripción de la actualización de seguridad para el servidor DNS (10 de marzo de 2009)
Más información

Tabla de definiciones

TérminoDefinición
Sistema de nombres de dominio (DNS)El Sistema de nombres de dominio es un protocolo estándar de Internet que traduce nombres en direcciones IP y viceversa.
WPADProtocolo de detección automática de proxy web
ISATAPProtocolo de direcciones de túnel automático entre sitios

Información general sobre el problema de seguridad

Internet Explorer y clientes similares buscan un servidor proxy a través del Protocolo de detección automática de proxy web (WPAD). Los equipos cliente buscan el servidor WPAD resolviendo el nombre WPAD y utilizando el DNS. ISATAP (Protocolo de direcciones de túnel automático entre sitios) es una tecnología de transición IPv6. Los clientes DNS llevan a cabo un descubrimiento ISATAP, que es parecido al método utilizado para WPAD. El registro malintencionado de una entrada WPAD o ISATAP dentro de una red corporativa podría permitir a un atacante configurar un proxy malintencionado. Existen soluciones alternativas para el problema de seguridad. Por ejemplo, puede registrar una entrada del nombre de host reservado en la base de datos DNS. El administrador debe registrar el nombre de host sin registrar una dirección IP para reservar así la entrada del nombre de host.

Cambios en el DNS después de aplicar la actualización de seguridad

: una vez aplicada la actualización de seguridad de DNS, se producirán los cambios siguientes en el servidor DNS.
  • La actualización de seguridad crea automáticamente una lista de bloqueados que utilizará el servidor DNS. Cada una de las solicitudes de consulta de nombre se comparará con la lista de bloqueados y se enviará una respuesta negativa para la consulta del nombre de la lista de bloqueados.
  • La lista de bloqueados predeterminada depende de los datos de las zonas para las que tiene autoridad el servidor al ejecutar la actualización. Si los datos de la zona no contienen entradas para WPAD o ISATAP, las entradas WPAD o ISATAP se rellenarán en la lista de bloqueados.
  • Si la base de datos DNS ya tiene una de estas entradas, las entradas WPAD o ISATAP no se rellenarán en la lista de bloqueados.
  • El administrador puede configurar y editar la lista de bloqueados en el registro. El servicio DNS debe reiniciarse para aceptar la nueva lista de bloqueados.
  • Para el servidor DNS, la lista de bloqueados se aplica a todas las zonas que aloja el servidor. No es posible permitir las entradas WPAD e ISATAP en una zona y no hacerlo en otras.
  • La lista de bloqueados se almacena en el registro de cada servidor. No existen réplicas de las entradas de la lista de bloqueados en varios servidores.

Preguntas más frecuentes

  1. ¿Qué ocurre si actualizo mi servidor DNS a un servidor LH?
    Respuesta: un servidor DNS que utiliza entradas válidas para WPAD e ISATAP continuará funcionando del mismo modo que antes.
  2. ¿Cuál es la ubicación de la entrada del Registro para la lista de bloqueados?
    Respuesta: La lista de bloqueados utiliza la entrada GlobalQueryBlockList REG_MULTI_SZ en la siguiente subclave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. ¿Qué pasa si elimino entradas en la lista de bloqueados del registro?
    Respuesta: Todas las consultas de WPAD y ISATAP se realizarán correctamente tras reiniciar el servicio.
  4. ¿Qué sucede si elimino la clave del Registro GlobalQueryBlockList?
    Respuesta: Cuando se reinicia el servicio, la clave se agrega de nuevo y los valores de la lista predeterminada de bloqueados se vuelve a llenar. Se bloquearán todas las consultas WPAD e ISATAP que no sean TXT.
  5. ¿Qué ocurre si elimino una entrada "contoso" de la lista de bloqueados del registro?
    Respuesta: una vez agregada la entrada a la lista de bloqueados, todas las consultas de "contoso" de cualquier zona serán incorrectas en cuanto se reinicie el servicio.
  6. ¿Qué sucede si ya tengo una entrada para "contoso" en la base de datos DNS y también agrego "contoso" a la lista de bloqueados?
    Respuesta: las consultas de "contoso.myzone.com" no se realizarán correctamente.
  7. He implementado un servidor WPAD en mi red. ¿Se verá afectado?
    Respuesta: no. Si ha implementado WPAD en una red y el nombre de WPAD ya está registrado en DNS, éste no se bloqueará. No obstante, si ha implementado WPAD en la red y éste utiliza DHCP para distribuir el archivo wpad.dat con el servidor DNS vacío, se bloqueará la consulta DNS de WPAD.
  8. ¿Puedo utilizar DNSCMD.exe para configurar la lista de bloqueados?
    Respuesta: no. La lista de bloqueados sólo se puede cambiar en el registro.
  9. ¿Se producirían errores al registrar las entradas bloqueadas en el servidor DNS?
    Respuesta: no. Como parte de la característica lista de bloqueados, los registros se realizarán correctamente. Únicamente se producirían errores en las entradas bloqueadas.
  10. ¿Esta característica bloquea solamente las consultas Host (tipo A o AAAA)?
    Respuesta: no, se bloquean todos los tipos de consultas para los nombres presentes en la lista de bloqueados.
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE WinNT Win2000
Propiedades

Id. de artículo: 968732 - Última revisión: 01/18/2010 18:00:26 - Revisión: 4.0

  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2
  • Service Pack 4 de Microsoft Windows 2000
  • kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
Comentarios