DNS サーバーのセキュリティ更新プログラムをインストールした後の DNS サーバー機能に対する変更

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響します。 この変更の意味および保護された状態を維持する方法について説明します。

はじめに

DNS サーバーのセキュリティ更新プログラムのインストール後のサーバー コンピューターにおけるインストール後の動作

このサポート技術情報の資料の目的は、DNS サーバー機能に対する今後の変更によって影響を受ける状況をユーザーに説明することです。できる限り一般的な資料になるように努力しました。この資料全体に目をとおし、この更新プログラムによってエンタープライズ環境が影響を受ける可能性がある場合とどのような影響を受けるのかについて理解するのに使用してください。

DNS サーバーのセキュリティ更新プログラムの関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
961063[MS09-008] DNS サーバーのセキュリティ更新プログラム (2009 年 3 月 10 日) について
詳細

定義テーブル

用語定義
DNS (Domain Name System)DNS はインターネット標準プロトコルで、名前を IP アドレスおよび IP アドレスを名前に変換します。
WPADWeb プロキシ自動検出プロトコル
ISATAPISATAP (Intra-Site Automatic Tunnel Addressing Protocol)

セキュリティ問題の概要

Internet Explorer および同様のクライアントは、Web プロキシ自動検出プロトコル (WPAD) を使用して、プロキシ サーバーを検索します。クライアント コンピューターは、名前 WPAD を解決したり、DNS を使用したりして、WPAD サーバーを見つけ出します。ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) は IPv6 移行テクノロジです。DNS クライアントは、WPAD に使用するメソッドに類似した ISATAP 検出を実行します。 会社のネットワーク内に WPAD または ISATAP エントリの悪質な登録があると、攻撃者が悪質なプロキシを構成することができます。このセキュリティ問題には解決策があります。たとえば、DNS データベースで予約した名前のホスト エントリを登録できます。管理者は、IP アドレスの登録、それによる名前ホストのエントリの予約を行わずに、ホスト名を登録する必要があります。

セキュリティ更新プログラム適用後の DNS に対する変更

DNS セキュリティ更新プログラムの適用後に、DNS に対して次の変更が行われます。
  • セキュリティ更新プログラムは、DNS によって使用されるブロック リストを自動的に作成します。名前クエリ要求はすべてブロック リストと比較してチェックされるので、否定応答がブロック リストの名前クエリに送信されます。
  • 既定のブロック リストは、サーバーに更新プログラムを実行する権限のあるゾーンのデータによって決まります。ゾーンのデータに WPAD または ISATAP のエントリが含まれていない場合、WPAD または ISATAP のエントリがブロック リストに入力されます。
  • DNS データベース内にこのようなエントリが含まれていると、WPAD または ISATAP エントリはブロック リストに入力されません。
  • 管理者はレジストリ内のブロック リストを構成および編集することができます。新しいブロック リストを承認するには、DNS サービスを再起動する必要があります。
  • DNS の場合、ブロック リストはサーバーによってホストされるすべてのゾーンに適用されます。1 つのゾーンのみで WPAD および ISATAP クエリを許可することはできません。
  • ブロック リストは各サーバーのレジストリに格納されます。複数のサーバーに渡るブロック リストのエントリのレプリケーションはありません。

よく寄せられる質問

  1. DNS サーバーを LH サーバーにアップグレードした場合はどうなりますか?
    回答: WPAD および ISATAP の有効なエントリがある DNS サーバーは引き続き以前と同様に動作します。
  2. ブロック リストのレジストリ エントリの場所はどこですか?
    回答: ブロック リストでは、次のサブキー内の GlobalQueryBlockList REG_MULTI_SZ エントリが使用されます。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. レジストリ内のブロック リストのエントリを削除した場合はどうなりますか?
    回答: サービスの再起動後、WPAD および ISATAP に対するすべてのクエリは成功します。
  4. GlobalQueryBlockList レジストリ キーを削除するとどうなりますか?
    回答: サービスが再起動した時点で、このキーは追加されて戻り、既定のブロック リストの値が再び戻されます。TXT WPAD と ISATAP 以外のクエリはすべてブロックされます。
  5. レジストリ内のブロック リストにエントリ "contoso" を追加した場合はどうなりますか?
    回答: ブロック リストにエントリを追加した後にサービスを再起動すると、ゾーン内の contoso に対するクエリはすべて失敗します。
  6. DNS データベース内に contoso に対するエントリが既にあり、さらにブロック リストにも contoso を追加した場合はどうなりますか?
    回答: "contoso.myzone.com" に対するクエリが失敗します。
  7. ネットワーク内に WPAD サーバーが配置されています。影響を受けますか?
    回答: いいえ。ネットワーク内に WPAD が配置されており、DNS で登録された名前 WPAD が既にある場合、WPAD はブロックされません。ただし、ネットワーク内に WPAD があり、何もない DNS で wpad.dat ファイルを配布するために DHCP が使用される場合、WPAD の DNS クエリはブロックされます。
  8. DNSCMD.exe を使用して、ブロック リストを構成できますか?
    回答: いいえ。レジストリ内のブロック リストの変更のみ可能です。
  9. ブロックされたエントリの登録は DNS サーバーで失敗しますか?
    回答: いいえ。ブロック リスト機能の一部として登録は成功します。ブロックされたエントリのクエリのみ失敗します。
  10. この機能によってブロックされるのは、ホスト (タイプ A または AAAA) クエリのみですか?
    回答: いいえ。ブロック リスト内にある全種類の名前クエリがブロックされます。
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE WinNT Win2000
プロパティ

文書番号:968732 - 最終更新日: 01/14/2010 02:00:55 - リビジョン: 4.0

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Service Pack 4

  • kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
フィードバック