DNS-palvelimen toiminnan muutokset DNS-palvelimen tietoturvapäivityksen asentamisen jälkeen

Lisätietoja yleisistä Windows 2000:een liittyvistä ongelmista löydät seuraavalta sivulta.

Windows 2000:n tuen päättymisen ratkaisukeskus.

ESITTELY

Palvelintietokoneiden toiminta DNS-palvelimen tietoturvapäivityksen asentamisen jälkeen

Tämän Knowledge Base -tietokannan artikkelin tarkoitus on antaa käyttäjille tietoja skenaarioista, joihin DNS-palvelimen toimintojen tuleva muutos vaikuttaa. Tästä asiakirjasta on yritetty tehdä sellainen, että se käsittelee asioita mahdollisimman yleisellä tasolla. Lue tämä asiakirja kokonaan, niin saat tietoja siitä, miten tämä päivitys saattaa vaikuttaa yritysympäristöösi.

Saat lisätietoja DNS-palvelimen tietoturvapäivityksestä napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
961063 MS09-008: 10.3.2009 julkaistun DNS-palvelimen tietoturvapäivityksen kuvaus

Enemmän tietoa

Määritelmätaulukko

TermiMääritelmä
DNS (Domain Name System)DNS (Domain Name System) on Internetin vakioprotokolla, joka muuntaa nimet IP-osoitteeksi ja IP-osoitteet nimiksi.
WPADWeb Proxy Auto-discovery Protocol
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

Tietoturvaongelman yleistietoja

Internet Explorer ja vastaavat asiakkaat etsivät välityspalvelinta WPAD (Web Proxy Auto-discovery Protocol) -protokollan avulla. Asiakastietokoneet etsivät WPAD-palvelinta selvittämällä nimen WPAD ja käyttämällä DNS:ää. ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) on IPv6-siirtymistekniikka. DNS-asiakkaat tekevät ISATAP-etsinnän, joka on samanlainen kuin WPAD-protokollalle. Jos WPAD- tai ISATAP-merkintä rekisteröidään yritysverkossa niin, että tarkoituksena on aiheuttaa haittaa, hyökkääjä saattaa pystyä määrittämään haitalliseksi suunnitellun välityspalvelimen. Tälle tietoturvaongelmalle on kiertotapoja. Voit esimerkiksi rekisteröidä varatun nimen isäntämerkinnän DNS-tietokantaan. Järjestelmänvalvojan on rekisteröitävä isäntänimi rekisteröimättä IP-osoitetta, jolloin nimen isäntämerkintä varataan.




DNS-muutokset tietoturvapäivityksen asentamisen jälkeen

Seuraavat DNS-muutokset tehdään sen jälkeen, kun DNS-tietoturvapäivitys on asennettu:
  • Tietoturvapäivitys luo automaattisesti estoluettelon, jota DNS käyttää. Jokainen nimen kyselypyyntö tarkistetaan estoluetteloa vasten ja estoluettelossa olevan nimen kyselylle lähetetään kielteinen vastaus.
  • Estoluettelon oletus määräytyy niillä vyöhykkeillä olevien tietojen mukaan, joita palvelin hallitsee, kun päivitys suoritetaan. Jos vyöhykkeen tiedot eivät sisällä WPAD- tai ISATAP-merkintöjä, WPAD- tai ISATAP-merkinnät lisätään estoluetteloon.
  • Jos DNS-tietokannassa on jo jokin näistä merkinnöistä, WPAD- tai ISATAP-merkintöjä ei lisätä estoluetteloon.
  • Järjestelmänvalvoja voi määrittää ja muokata estoluetteloa rekisterissä. DNS-palvelu on käynnistettävä uudelleen, jotta uusi estoluettelo hyväksytään.
  • DNS:n ollessa kyseessä estoluettelo koskee kaikkia vyöhykkeitä, joita palvelin isännöi. WPAD- ja ISATAP-kyselyitä ei voi sallia yhdellä vyöhykkeellä ja estää toisella.
  • Estoluettelo on tallennettu kunkin palvelimen rekisteriin. Estoluettelon merkintöjä ei replikoida palvelinten välillä.

Usein kysyttyjä kysymyksiä

  1. Mitä tapahtuu, jos DNS-palvelin päivitetään LH-palvelimeksi?
    Vastaus: DNS-palvelin, joka käyttää kelvollisia merkintöjä nimille WPAD ja ISATAP, toimii edelleen samalla tavalla kuin ennen.
  2. Mikä on estoluettelon rekisterimerkinnän sijainti?
    Vastaus: Estoluettelo käyttää REG_MULTI_SZ-merkintää GlobalQueryBlockList seuraavassa aliavaimessa:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Mitä tapahtuu, jos rekisterin estoluettelon merkinnät poistetaan?
    Vastaus: Kaikki kyselyt nimille WPAD ja ISATAP onnistuvat sen jälkeen, kun palvelu on käynnistetty uudelleen.
  4. Mitä tapahtuu, jos poistan GlobalQueryBlockList-rekisteriavaimen?

    Vastaus: Kun palvelu käynnistyy uudelleen, avain lisätään takaisin, ja oletusarvon mukaiset estoluetteloarvot täytetään uudelleen. Kaikki muut kuin tekstimuotoiset WPAD- ja ISATAP-kyselyt estetään.
  5. Mitä tapahtuu, jos rekisterin estoluetteloon lisätään merkintä "contoso"?
    Vastaus: Sen jälkeen, kun merkintä on lisätty estoluetteloon, kaikki minkä tahansa vyöhykkeen nimen contoso kyselyt epäonnistuvat heti, kun palvelu käynnistetään uudelleen.
  6. Mitä tapahtuu, jos DNS-tietokannassa on jo merkintä nimelle contoso ja nimi contoso lisätään myös estoluetteloon?
    Vastaus: Nimen contoso.omavyöhyke.com kyselyt epäonnistuvat.
  7. Verkossa on otettu käyttöön WPAD-palvelin. Vaikuttaako tämä siihen?
    Vastaus: Ei. Jos WPAD on otettu käyttöön verkossa ja nimi WPAD on jo rekisteröity DNS:ssä, sitä ei estetä. Jos verkossa kuitenkin on WPAD ja se jakelee Wpad.dat-tiedostoa DHCP:n avulla, eikä DNS:ssä ole mitään, DNS-kysely nimelle WPAD estetään.
  8. Voiko estoluettelon määrittää Dnscmd.exe-ohjelman avulla?
    Vastaus: Ei. Estoluetteloa voi muuttaa ainoastaan rekisterissä.
  9. Epäonnistuisiko estettyjen merkintöjen rekisteröiminen DNS-palvelimessa?
    Vastaus: Ei. Rekisteröinnit onnistuvat osana estoluettelo-ominaisuutta. Vain estetyille merkinnöille tehdyt kyselyt epäonnistuvat.
  10. Estääkö tämä ominaisuus vain isäntäkyselyt (tyyppi A tai AAAA)?
    Vastaus: Ei. Kaikenlaiset estoluettelon nimille tehdyt kyselyt epäonnistuvat.
Ominaisuudet

Artikkelin tunnus: 968732 – Viimeisin tarkistus: 30.9.2011 – Versio: 1

Palaute