Olet tällä hetkellä offline-tilassa. Internet-yhteyden muodostamista uudelleen odotetaan

DNS-palvelimen toiminnan muutokset DNS-palvelimen tietoturvapäivityksen asentamisen jälkeen

Windows XP:n tuki on päättynyt

Microsoft lopetti Windows XP:n tuen 8.4.2014. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

Windows Server 2003:n tuki päättyi 14.7.2015

Microsoft lopetti Windows Server 2003:n tuen 14.7.2015. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

Ilmoitus
Lisätietoja yleisistä Windows 2000:een liittyvistä ongelmista löydät seuraavalta sivulta.

Windows 2000:n tuen päättymisen ratkaisukeskus.
ESITTELY

Palvelintietokoneiden toiminta DNS-palvelimen tietoturvapäivityksen asentamisen jälkeen

Tämän Knowledge Base -tietokannan artikkelin tarkoitus on antaa käyttäjille tietoja skenaarioista, joihin DNS-palvelimen toimintojen tuleva muutos vaikuttaa. Tästä asiakirjasta on yritetty tehdä sellainen, että se käsittelee asioita mahdollisimman yleisellä tasolla. Lue tämä asiakirja kokonaan, niin saat tietoja siitä, miten tämä päivitys saattaa vaikuttaa yritysympäristöösi.

Saat lisätietoja DNS-palvelimen tietoturvapäivityksestä napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
961063MS09-008: 10.3.2009 julkaistun DNS-palvelimen tietoturvapäivityksen kuvaus
Enemmän tietoa

Määritelmätaulukko

TermiMääritelmä
DNS (Domain Name System)DNS (Domain Name System) on Internetin vakioprotokolla, joka muuntaa nimet IP-osoitteeksi ja IP-osoitteet nimiksi.
WPADWeb Proxy Auto-discovery Protocol
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

Tietoturvaongelman yleistietoja

Internet Explorer ja vastaavat asiakkaat etsivät välityspalvelinta WPAD (Web Proxy Auto-discovery Protocol) -protokollan avulla. Asiakastietokoneet etsivät WPAD-palvelinta selvittämällä nimen WPAD ja käyttämällä DNS:ää. ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) on IPv6-siirtymistekniikka. DNS-asiakkaat tekevät ISATAP-etsinnän, joka on samanlainen kuin WPAD-protokollalle. Jos WPAD- tai ISATAP-merkintä rekisteröidään yritysverkossa niin, että tarkoituksena on aiheuttaa haittaa, hyökkääjä saattaa pystyä määrittämään haitalliseksi suunnitellun välityspalvelimen. Tälle tietoturvaongelmalle on kiertotapoja. Voit esimerkiksi rekisteröidä varatun nimen isäntämerkinnän DNS-tietokantaan. Järjestelmänvalvojan on rekisteröitävä isäntänimi rekisteröimättä IP-osoitetta, jolloin nimen isäntämerkintä varataan.

DNS-muutokset tietoturvapäivityksen asentamisen jälkeen

Seuraavat DNS-muutokset tehdään sen jälkeen, kun DNS-tietoturvapäivitys on asennettu:
  • Tietoturvapäivitys luo automaattisesti estoluettelon, jota DNS käyttää. Jokainen nimen kyselypyyntö tarkistetaan estoluetteloa vasten ja estoluettelossa olevan nimen kyselylle lähetetään kielteinen vastaus.
  • Estoluettelon oletus määräytyy niillä vyöhykkeillä olevien tietojen mukaan, joita palvelin hallitsee, kun päivitys suoritetaan. Jos vyöhykkeen tiedot eivät sisällä WPAD- tai ISATAP-merkintöjä, WPAD- tai ISATAP-merkinnät lisätään estoluetteloon.
  • Jos DNS-tietokannassa on jo jokin näistä merkinnöistä, WPAD- tai ISATAP-merkintöjä ei lisätä estoluetteloon.
  • Järjestelmänvalvoja voi määrittää ja muokata estoluetteloa rekisterissä. DNS-palvelu on käynnistettävä uudelleen, jotta uusi estoluettelo hyväksytään.
  • DNS:n ollessa kyseessä estoluettelo koskee kaikkia vyöhykkeitä, joita palvelin isännöi. WPAD- ja ISATAP-kyselyitä ei voi sallia yhdellä vyöhykkeellä ja estää toisella.
  • Estoluettelo on tallennettu kunkin palvelimen rekisteriin. Estoluettelon merkintöjä ei replikoida palvelinten välillä.

Usein kysyttyjä kysymyksiä

  1. Mitä tapahtuu, jos DNS-palvelin päivitetään LH-palvelimeksi?
    Vastaus: DNS-palvelin, joka käyttää kelvollisia merkintöjä nimille WPAD ja ISATAP, toimii edelleen samalla tavalla kuin ennen.
  2. Mikä on estoluettelon rekisterimerkinnän sijainti?
    Vastaus: Estoluettelo käyttää REG_MULTI_SZ-merkintää GlobalQueryBlockList seuraavassa aliavaimessa:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Mitä tapahtuu, jos rekisterin estoluettelon merkinnät poistetaan?
    Vastaus: Kaikki kyselyt nimille WPAD ja ISATAP onnistuvat sen jälkeen, kun palvelu on käynnistetty uudelleen.
  4. Mitä tapahtuu, jos poistan GlobalQueryBlockList-rekisteriavaimen?
    Vastaus: Kun palvelu käynnistyy uudelleen, avain lisätään takaisin, ja oletusarvon mukaiset estoluetteloarvot täytetään uudelleen. Kaikki muut kuin tekstimuotoiset WPAD- ja ISATAP-kyselyt estetään.
  5. Mitä tapahtuu, jos rekisterin estoluetteloon lisätään merkintä "contoso"?
    Vastaus: Sen jälkeen, kun merkintä on lisätty estoluetteloon, kaikki minkä tahansa vyöhykkeen nimen contoso kyselyt epäonnistuvat heti, kun palvelu käynnistetään uudelleen.
  6. Mitä tapahtuu, jos DNS-tietokannassa on jo merkintä nimelle contoso ja nimi contoso lisätään myös estoluetteloon?
    Vastaus: Nimen contoso.omavyöhyke.com kyselyt epäonnistuvat.
  7. Verkossa on otettu käyttöön WPAD-palvelin. Vaikuttaako tämä siihen?
    Vastaus: Ei. Jos WPAD on otettu käyttöön verkossa ja nimi WPAD on jo rekisteröity DNS:ssä, sitä ei estetä. Jos verkossa kuitenkin on WPAD ja se jakelee Wpad.dat-tiedostoa DHCP:n avulla, eikä DNS:ssä ole mitään, DNS-kysely nimelle WPAD estetään.
  8. Voiko estoluettelon määrittää Dnscmd.exe-ohjelman avulla?
    Vastaus: Ei. Estoluetteloa voi muuttaa ainoastaan rekisterissä.
  9. Epäonnistuisiko estettyjen merkintöjen rekisteröiminen DNS-palvelimessa?
    Vastaus: Ei. Rekisteröinnit onnistuvat osana estoluettelo-ominaisuutta. Vain estetyille merkinnöille tehdyt kyselyt epäonnistuvat.
  10. Estääkö tämä ominaisuus vain isäntäkyselyt (tyyppi A tai AAAA)?
    Vastaus: Ei. Kaikenlaiset estoluettelon nimille tehdyt kyselyt epäonnistuvat.
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE WinNT Win2000
Ominaisuudet

Artikkelin tunnus: 968732 – Viimeisin tarkistus: 09/30/2011 10:45:00 – Versio: 5.0

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Service Pack 4

  • kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
Palaute