A DNS-kiszolgáló működésének változásai a DNS-kiszolgáló biztonsági frissítésének telepítése után

BEVEZETÉS

Telepítés utáni viselkedés a kiszolgáló-számítógépeken a DNS-kiszolgáló biztonsági frissítésének telepítését követően

A jelen tudásbáziscikk célja a felhasználók tájékoztatása azon esetekről, amelyeket a DNS-kiszolgáló működésének várható módosítása érint. A dokumentum létrehozásakor szempont volt, hogy a lehető legáltalánosabb legyen. Olvassa el a teljes dokumentumot annak megértéséhez, hogy miként érintheti a frissítés vállalati környezetét.

A DNS-kiszolgáló biztonsági frissítéséről a Microsoft Tudásbázis következő cikkében tájékozódhat:
961063MS09-008: A DNS-kiszolgáló biztonsági frissítése: 2009. március 10.

További információ

Elnevezések

KifejezésElnevezés
DNSA Domain Name System (Tartománynévrendszer) egy szabványos internetes protokoll, amely a neveket IP-címekre fordítja, és fordítva.
WPADWeb Proxy Auto-Discovery protokoll
ISATAPIntra-Site Automatic Tunnel Addressing protokoll

A biztonsági problémák áttekintése

Az Internet Explorer és a hasonló ügyfélprogramok a WPAD protokoll segítségével keresik a proxykiszolgálókat. Az ügyfélszámítógépek a WPAD-név feloldásával és a DNS használatával keresik a WPAD-kiszolgálót. Az ISATAP protokoll egy IPv6-átviteli technológia. A DNS-ügyfelek ISATAP-felderítést hajtanak végre, amely a WPAD esetén használt módszerhez hasonló.

A WPAD- vagy az ISATAP-bejegyzések rosszindulatú regisztrációja egy vállalati hálózaton belül lehetővé teheti, hogy egy támadó kártevő proxyt állítson be. A biztonsági probléma kerülő megoldásokkal küszöbölhető ki. Ilyen például a fenntartott állomásbejegyzés DNS-adatbázisban történő regisztrálása. A rendszergazdának IP-cím regisztrálása nélkül kell regisztrálnia az állomásnevet, és így fenntartani az állomásbejegyzést.




A DNS-kiszolgáló működésének változásai a biztonsági frissítése telepítése után

A DNS-kiszolgáló működése az alábbi módon változik meg a DNS biztonsági frissítésének telepítése után:

  • A biztonsági frissítés automatikusan létrehoz egy, a DNS által használt tiltólistát. A rendszer minden lekérdezett nevet ellenőriz a tiltólistán, és az azon szereplő névnek egy üres választ küld.
  • A tiltólista alapértékei az abban a zónában szereplő adatoktól függenek, amelyben a frissítés futtatásakor a kiszolgáló mérvadó. Ha a zóna adatai között nem szerepelnek WPAD- vagy ISATAP-bejegyzések, akkor a rendszer a WPAD- vagy ISATAP-bejegyzéseket tölti fel a tiltólistára.
  • Ha a DNS-adatbázisban már megtalálható a bejegyzések valamelyike, akkor a WPAD- vagy az ISATAP-bejegyzéseket a rendszer nem tölti fel a tiltólistára.
  • A rendszergazda a beállításjegyzékben konfigurálhatja és szerkesztheti a tiltólistát. A tiltólista elfogadásához újra kell indítani a DNS szolgáltatást.
  • A DNS szolgáltatás esetén a tiltólista a kiszolgálón található összes zónára vonatkozik. Az nem lehetséges, hogy a WPAD- és az ISATAP-lekérdezéseket csak az egyik zónában engedélyezze, és a másikban nem.
  • Az egyes kiszolgálókhoz tartozó tiltólistát a rendszer a beállításjegyzékben tárolja. A tiltólista-bejegyzések nem replikálódnak több kiszolgáló között.

Gyakori kérdések

  1. Mi történik, ha DNS-kiszolgálóról Longhorn-kiszolgálóra frissítek?
    Válasz: Az érvényes WPAD- és ISATAP-bejegyzéseket használó DNS-kiszolgáló továbbra is ugyanúgy fog működni.
  2. Hol található a tiltólista bejegyzése a beállításjegyzékben?
    Válasz: A tiltólista a GlobalQueryBlockList REG_MULTI_SZ bejegyzést használja a következő alkulcsban:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Mi történik, ha törlöm a tiltólista bejegyzéseit a beállításjegyzékben?
    Válasz: A WPAD és az ISATAP lekérdezései sikeresek lesznek a szolgáltatás újraindítása után.
  4. Mi történik, ha törlöm a GlobalQueryBlockList beállításkulcsot?

    Válasz: A szolgáltatás újraindításakor a rendszer ismét hozzáadja a kulcsot, és ismét betölti az alapértelmezett tiltólista-értékeket. A nem szöveges WPAD- és ISATAP-lekérdezéseket a rendszer letiltja.
  5. Mi történik, ha a beállításjegyzékben felveszem a „kontraktor” bejegyzést a tiltólistára?
    Válasz: Miután felvette a bejegyzést a tiltólistára, a szolgáltatás újraindítását követően a kontraktor névre történő összes lekérdezés minden zónában sikertelen lesz.
  6. Mi történik, ha a DNS-adatbázisban már szerepel egy kontraktor bejegyzés, és a tiltólistára is felveszem azt?
    Válasz: A „kontraktor.sajátzóna.com” lekérdezések sikertelenek lesznek.
  7. A hálózatomban WPAD-kiszolgáló van telepítve. Érinteni fog engem a frissítés?
    Válasz: Nem. Ha a WPAD telepítve van a hálózatán, és már rendelkezik a DNS szolgáltatásban regisztrált WPAD-névvel, a rendszer nem fogja azt letiltani. Ha azonban a WPAD telepítve van a hálózaton, DHCP segítségével terjeszti a wpad.dat fájlt, és a DNS szolgáltatásban nem található bejegyzés, a WPAD DNS-lekérdezése tiltva lesz.
  8. Használható a DNSCMD.exe a tiltólista konfigurálásához?
    Válasz: Nem. A tiltólista csak a beállításjegyzékben módosítható.
  9. Sikertelen lesz a letiltott bejegyzések regisztrálása a DNS-kiszolgálóban?
    Válasz: Nem. A tiltólista szolgáltatás részeként a regisztrálások sikerülni fognak. Csak a letiltott bejegyzések lekérdezése hiúsul meg.
  10. Csak az (A vagy AAAA típusú) állomáslekérdezéseket blokkolja a szolgáltatás?
    Válasz: Nem, a tiltólistában szereplő nevek összes típusú lekérdezése tiltva van.
Tulajdonságok

Cikkazonosító: 968732 - Utolsó ellenőrzés: 2017. febr. 14. - Verziószám: 1

Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition

Visszajelzés