Você está offline; aguardando reconexão

Alterações no comportamento do servidor DNS após a instalação da atualização de segurança para o servidor DNS

O suporte para o Windows XP terminou

A Microsoft terminou o suporte para o Windows XP em 8 de abril de 2014. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

INTRODUÇÃO

Comportamento de pós-instalação em computadores do servidor após a instalação da atualização de segurança do servidor DNS

A finalidade deste artigo da Base de Dados de Conhecimento é informar os usuários sobre cenários que são afetados por uma alteração iminente na funcionalidade do servidor DNS. Tentamos elaborar este documento da forma mais genérica possível. Leia todo esse documento e use-o para entender se e como o ambiente da sua empresa pode ser afetado por esta atualização.

Para obter mais informações sobre a atualização de segurança do servidor DNS, clique no número a seguir para ler o artigo na Base de Dados de Conhecimento Microsoft:
961063MS09-008: Descrição da atualização de segurança para servidor DNS: 10 de março de 2009
Mais Informações

Tabela de definições

TermoDefinição
DNS (Sistema de nomes de domínios)O Sistema de Nomes de Domínio (DNS) é um protocolo padrão da Internet que traduz nomes para endereços IP e vice versa.
WPADProtocolo Web Proxy Auto-discovery
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

Uma visão geral do problema de segurança

O Internet Explorer e clientes semelhantes pesquisam um servidor proxy usando o Protocolo WPAD (Web Proxy Auto-discovery). Computadores cliente pesquisam o servidor WPAD resolvendo o WPAD do nome e usando o DNS. ISATAP (Protocolo Intra-Site Automatic Tunnel Addressing) é uma tecnologia de transição IPv6. Clientes DNS executam a descoberta ISATAP, que é semelhante ao método usado para WPAD. Um registro mal-intencionado de uma entrada WPAD ou ISATAP em uma rede corporativa pode permitir que um invasor configure um proxy mal-intencionado. Há soluções alternativas para este problema de segurança. Por exemplo, você pode registrar uma entrada de host de nome reservada no banco de dados do DNS. O administrador deve registrar o nome de host sem registrar um endereço IP, reservando a entrada de host do nome.

Alterações no DNS após a aplicação da atualização de segurança

As seguintes alterações no DNS ocorrerão após a aplicação da atualização de segurança do DNS:
  • A atualização de segurança cria automaticamente uma lista de bloqueios que será usada pelo DNS. Cada solicitação de consulta de nome é verificada na lista de bloqueios, e uma resposta negativa é enviada para a consulta de nomes bloqueados.
  • A lista de bloqueios padrão depende dos dados nas zonas em que o servidor tem autoridade quando a atualização é executada. Se os dados da zona não contiverem entradas de WPAD ou ISATAP, essas entradas serão incluídas na lista de bloqueios.
  • Se o banco de dados DNS já tiver uma dessas entradas, as entradas WPAD ou ISATAP não serão incluídas na lista de bloqueios.
  • O administrador pode configurar e editar a lista de bloqueios no Registro. O serviço DNS deve ser reiniciado para que a nova lista de bloqueios seja aceita.
  • Para DNS, a lista de bloqueios aplica-se a todas as zonas hospedadas pelo servidor. Você não pode permitir consultas de WPAD e ISATAP em uma zona e não permitir em outra.
  • A lista de bloqueios é armazenada no Registro de cada servidor. Não há replicação das entradas da lista de bloqueios em vários servidores.

Perguntas frequentes

  1. O que acontece se eu atualizar o meu servidor DNS para um servidor LH?
    Resposta: Um servidor DNS que usa entradas válidas de WPAD e ISATAP continuará funcionando como antes.
  2. Qual é a localização da entrada de Registro da lista de bloqueios?
    Resposta: A lista de bloqueios usa a entrada GlobalQueryBlockList REG_MULTI_SZ na seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. O que acontece se eu excluir as entradas da lista de bloqueios no Registro?
    Resposta: Todas as consultas para WPAD e ISATAP terão êxito após a reinicialização do serviço.
  4. O que acontece se eu excluir chave do Registro GlobalQueryBlockList?
    Resposta: Quando o serviço for reiniciado, a chave será adicionada novamente e os valores de lista de bloco padrão serão preenchidos. Todas as consultas que não são ISATAP e TXT WPAD serão bloqueadas.
  5. O que acontece se eu adicionar uma entrada "contoso" à lista de bloqueios no Registro?
    Resposta: Depois de adicionar a entrada à lista de bloqueios, todas as consultas de contoso em todas as zonas não serão realizadas com êxito quando o serviço for reiniciado.
  6. O que acontece se eu já tiver uma entrada de contoso no banco de dados do DNS e adicionar contoso à lista de bloqueios?
    Resposta: As consultas de "contoso.myzone.com" não serão realizadas com sucesso.
  7. Tenho um servidor WPAD implantado na minha rede. Eu serei afetado?
    Resposta: Não. Se você tiver o WPAD implantado em uma rede, e ainda tiver o WPAD do nome registrado no DNS, ele não será bloqueado. Entretanto, se você tiver o WPAD na rede e usar o DHCP para distribuir o arquivo wpad.dat sem nada no DNS, a consulta DNS para WPAD será bloqueada.
  8. Posso usar o DNSCMD.exe para configurar a lista de bloqueios?
    Resposta: Não. Você só pode alterar a lista de bloqueios no Registro.
  9. Ocorrerá falha no registro das entradas bloqueadas no servidor DNS?
    Resposta: Não. Como parte do recurso da lista de bloqueios, os registros serão realizados com êxito. Somente as consultas das entradas bloqueadas falharão.
  10. Somente as consultas de Host (tipo A ou AAAA) estão bloqueadas por esse recurso?
    Resposta: Não, todos os tipos de consulta de nomes na lista de bloqueios estão bloqueadas.
atualização security_patch security_update segurança bug falha vulnerabilidade mal-intencionado invasor exploração Registro não autenticado buffer saturação estouro especialmente formado escopo especialmente criado negação de serviço DoS TSE WinNT Win2000
Propriedades

ID do Artigo: 968732 - Última Revisão: 01/18/2010 19:15:34 - Revisão: 4.0

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Service Pack 4

  • kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
Comentários