Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Changements intervenus dans le comportement du serveur DNS après l'installation de la mise à jour de sécurité pour le serveur DNS

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

INTRODUCTION

Comportement postérieur à l'installation sur des ordinateurs serveur après l'installation de la mise à jour de sécurité du serveur DNS

L'objectif de cet article de la Base de connaissances consiste à informer les utilisateurs des scénarios affectés par une modification imminente des fonctionnalités du serveur DNS. Nous avons tenté de généraliser ce document autant que possible. Lisez-le entièrement et servez-vous-en pour comprendre si cette mise à jour peut affecter l'environnement de votre entreprise et, le cas échéant, de quelle manière.

Pour plus d'informations sur la mise à jour de sécurité du serveur DNS, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
961063MS09-008 : Description de la mise à jour de sécurité pour le serveur DNS : 10 mars 2009
Plus d'informations

Tableau des définitions

TermeDéfinition
Système DNS (Domain Name System)Le système DNS est un protocole Internet standard qui traduit les noms en adresses IP et inversement.
WPADWeb Proxy Auto-discovery Protocol
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

Vue d'ensemble du problème de sécurité

Internet Explorer et les clients similaires recherchent un serveur proxy à l'aide du protocole WPAD (Web Proxy Auto-discovery Protocol). Les ordinateurs client recherchent le serveur WPAD en résolvant le nom WPAD et à l'aide du DNS. ISATAP (protocole d'adressage tunnel intra-site) est une technologie de transition IPv6. Les clients DNS découvrent ISATAP, qui est similaire à la méthode utilisée pour WPAD. L'enregistrement malveillant d'une entrée WPAD ou ISATAP dans un réseau d'entreprise peut permettre à un utilisateur malveillant de configurer un proxy malveillant. Il existe plusieurs manières de contourner ce problème de sécurité. Par exemple, vous pouvez enregistrer une entrée réservée de nom d'hôte dans la base de données DNS. L'administrateur doit enregistrer le nom de l'hôte sans enregistrer une adresse IP. Il réserve l'entrée de l'hôte de nom.

Modifications apportées à DNS après l'application de la mise à jour de sécurité

Les modifications suivantes apportées à DNS ont lieu après l'application de la mise à jour de sécurité de DNS :
  • La mise à jour de sécurité crée automatiquement une liste de blocage utilisée par DNS. Chaque demande de requête de nom est analysée par rapport à la liste de blocage et une réponse négative est envoyée pour la requête de nom qui apparaît sur la liste de blocage.
  • La liste de blocage dépend par défaut des données figurant dans les zones pour lequel le serveur fait autorité lors de l'exécution de la mise à jour. Si les données de la zone ne contiennent pas d'entrées pour WPAD ou ISATAP, les entrées WPAD ou ISATAP sont enregistrées dans la liste de blocage.
  • Si la base de données DNS contient déjà l'une de ces entrées, les entrées WPAD ou ISATAP ne sont pas enregistrées dans la liste de blocage.
  • L'administrateur peut configurer et modifier la liste de blocage dans le Registre. Le service DNS doit être redémarré pour que la nouvelle liste de blocage soit acceptée.
  • Pour DNS, la liste de blocage s'applique à toutes les zones hébergées par le serveur. Vous ne pouvez pas autoriser les requêtes WPAD et ISATAP dans une zone et pas dans une autre.
  • La liste de blocage est enregistrée dans le Registre pour chaque serveur. Il n'existe pas de réplication d'entrées de liste de blocage sur plusieurs serveurs.

Forum Aux Questions (FAQ)

  1. Que se passe-t-il si je mets à niveau mon serveur DNS vers LH ?
    Réponse : Le serveur DNS possédant des entrées valides de WPAD et ISATAP continuera à fonctionner comme avant.
  2. Quel est l'emplacement de la clé de Registre pour la liste de blocage ?
    Réponse : La liste de blocage utilise l'entrée GlobalQueryBlockList REG_MULTI_SZ dans la sous-clé suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Que se passe-t-il si je supprime les entrées de la liste de blocage dans le Registre ?
    Réponse : Toutes les requêtes pour WPAD et ISATAP réussiront après le redémarrage du service.
  4. Que se passe-t-il si je supprime la clé de Registre GlobalQueryBlockList ?
    Réponse : Lorsque le service redémarre, la clé est à nouveau ajoutée et les valeurs de liste de blocage par défaut sont à nouveau remplies. Toutes les requêtes non-TXT WPAD et ISATAP seront bloquées.
  5. Que se passe-t-il si j'ajoute une entrée « contoso » à la liste de blocage dans le Registre ?
    Réponse : Une fois l'entrée ajoutée à la liste de blocage, toutes les requêtes pour contoso dans toutes les zones échouent dès que le service a redémarré.
  6. Que se passe-t-il si je possède déjà une entrée pour contoso dans la base de données DNS et si j'ajoute également contoso dans la liste de blocage ?
    Réponse : Les requêtes pour « contoso.ma_zone.com » échouent.
  7. Un serveur WPAD est déployé sur mon réseau. Suis-je concerné ?
    Réponse : Non. Si WPAD est déployé sur votre réseau et si vous avez déjà enregistré le nom WPAD dans DNS, il n'est pas bloqué. Toutefois, si WPAD est déployé sur votre réseau et utilise DHCP pour distribuer le fichier wpad.dat alors que DNS ne contient rien, la requête DNS pour WPAD est bloquée.
  8. Puis-je utiliser DNSCMD.exe pour configurer la liste de blocage ?
    Réponse : Non. Vous ne pouvez que modifier la liste de blocage dans le Registre.
  9. L'enregistrement des entrées bloquées peut-il échouer dans le serveur DNS ?
    Réponse : Non. Dans le cadre de la fonction de la liste de blocage, les enregistrements réussissent. Seules les requêtes pour les entrées bloquées échouent.
  10. Les requêtes hôte (type A ou AAAA) sont-elles les seules à être bloquées par cette fonction ?
    Réponse : Non, tous les types de requêtes de noms de la liste de blocage sont bloqués.
mise à jour sécurité_correctif sécurité_mise à jour sécurité bogue défaut vulnérabilité utilisateur malveillant exploiter Registre non authentifié saturation de la mémoire tampon étendue spécialement formée refus de service spécialement prévu DoS TSE WinNT Win2000
Propriétés

ID d'article : 968732 - Dernière mise à jour : 01/18/2010 16:35:59 - Révision : 4.0

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Service Pack 4

  • kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
Commentaires
ync=""> var varAutoFirePV = 1; var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write("