Şu anda çevrimdışısınız; İnternet'in yeniden bağlanması bekleniyor

DNS sunucusuna yönelik güvenlik güncelleştirmesi yüklendikten sonra DNS sunucusu davranışındaki değişiklikler

Windows XP desteği sona erdi

Microsoft, Windows XP desteğini 8 Nisan 2014'te sona erdirdi. Bu değişiklik yazılım güncelleştirmelerinizi ve güvenlik seçeneklerinizi etkiledi. Bunun sizin için ne anlama geldiğini ve korunmaya nasıl devam edebileceğinizi öğrenin.

Windows Server 2003 desteği 14 Temmuz 2015'te sona erdi

Microsoft, Windows Server 2003 desteğini 14 Temmuz 2015'te sona erdirdi. Bu değişiklik yazılım güncelleştirmelerinizi ve güvenlik seçeneklerinizi etkiledi. Bunun sizin için ne anlama geldiğini ve korunmaya nasıl devam edebileceğinizi öğrenin.

GİRİŞ

DNS sunucusuna yönelik güvenlik güncelleştirmesi yüklendikten sonra sunucu bilgisayarların yükleme sonrası davranışı

Bu Bilgi Bankası makalesinin amacı, kullanıcıları DNS sunucusu işlevselliğinde yakında gerçekleştirilecek bir değişiklikten etkilenecek senaryolar konusunda bilgilendirmektir. Bu belgenin olabildiğince genel olmasına çalışılmıştır. Lütfen bu makalenin tamamını okuyarak kuruluş ortamınızın bu güncelleştirmeden etkilenip etkilenmeyeceğini, etkilenecekse bunun ne şekilde olacağını öğrenin.

DNS sunucusuna yönelik güvenlik güncelleştirmesi hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
961063MS09-008: DNS sunucusu güvenlik güncelleştirmesi: 10 Mart 2009'un açıklaması
Daha fazla bilgi

Tanım tablosu

TerimTanımı
Etki Alanı Adı Sistemi (DNS)Etki Alanı Adı Sistemi, adları IP adreslerine ve IP adreslerini adlara çeviren bir Internet standardı protokolüdür.
WPADWeb Proxy Otomatik Bulma Protokolü
ISATAPSite İçi Otomatik Tünel Adres Protokolü

Güvenlik sorununa genel bakış

Internet Explorer ve benzer istemciler, Web Proxy Otomatik Bulma Protokolü'nü (WPAD) kullanarak bir proxy sunucu ararlar. İstemci bilgisayarlar ise ad WPAD'yi çözümleyerek ve DNS kullanarak WPAD sunucusunu ararlar. ISATAP (Site İçi Otomatik Tünel Adres Protokolü) bir IPv6 geçiş teknolojisidir. DNS İstemcileri, WPAD için kullanılan yönteme benzeyen ISATAP bulma işlemi gerçekleştirir. Şirket ağı içinde WPAD veya ISATAP girdisi kötü amaçlı olarak kaydettirilirse, saldırgan kötü amaçlı bir proxy yapılandırabilir. Bu güvenlik sorunu için geçici çözümler bulunmaktadır. Örneğin, DNS veritabanında bir ayrılmış ad ana bilgisayar girdisi kaydettirebilirsiniz. Yöneticinin bir IP adresi kaydettirmeden ana bilgisayar adını kaydettirerek ad ana bilgisayar girdisini ayırması gerekir.

Güvenlik güncelleştirmesi uygulandıktan sonra DNS'deki değişiklikler

DNS güvenlik güncelleştirmesi uygulandıktan sonra aşağıdaki DNS değişiklikleri gerçekleştirilir:
  • Güvenlik güncelleştirmesi, DNS tarafından kullanılacak bir engelleme listesini otomatik olarak oluşturur. Her ad sorgusu isteği, engelleme listesine bakılarak denetlenir ve engelleme listesinde bulunan ad sorgusu için olumsuz bir yanıt gönderilir.
  • Engelleme listesi varsayılanı, güncelleştirmenin çalıştırıldığı sırada sunucunun yetkili olduğu bölgelerdeki verilere bağımlıdır. Bölge verileri WPAD veya ISATAP girdilerini içermiyorsa, WPAD veya ISATAP girdileri engelleme listesine eklenir.
  • DNS veritabanında bu girdilerden biri zaten varsa, WPAD veya ISATAP girdileri engelleme listesine eklenmez.
  • Yönetici, engelleme listesini kayıt defterinden yapılandırabilir ve düzenleyebilir. Yeni engelleme listesinin kabul edilmesi için DNS hizmetinin yeniden başlatılması gerekir.
  • DNS, engelleme listesini sunucu tarafından barındırılan tüm bölgeler için geçerli kabul eder. WPAD ve ISATAP sorgularına bir bölgede izin verip bir başkasında engellemeniz mümkün değildir.
  • Engelleme listesi her sunucunun kayıt defterinde saklanır. Engelleme listesi girdileri birden çok sunucuya çoğaltılamaz.

Sık sorulan sorular

  1. DNS sunucumu LH sunucusuna yükseltirsem ne olur?
    Yanıt: WPAD ve ISATAP için geçerli girdiler kullanan bir DNS sunucusu önceden olduğu gibi çalışmaya devam eder.
  2. Engelleme listesi için kayıt defteri girdisinin konumu nedir?
    Yanıt: Engelleme listesi, aşağıdaki alt anahtarda bulunan GlobalQueryBlockList REG_MULTI_SZ girdisini kullanır:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Kayıt defterindeki engelleme listesi girdilerini silersem ne olur?
    Yanıt: Hizmeti yeniden başlatıldıktan sonra tüm WPAD ve ISATAP sorguları başarılı olur.
  4. GlobalQueryBlockList kayıt defteri anahtarını silersem ne olur?
    Yanıt: Hizmet yeniden başlatıldığında, anahtar yeniden eklenir ve varsayılan engelleme listesi değerleri yeniden doldurulur. TXT olmayan tüm WPAD ve ISATAP sorguları engellenir.
  5. Kayıt defterindeki engelleme listesine "contoso" girdisini eklersem ne olur?
    Yanıt: Girdi engelleme listesine eklendikten sonra, hizmet yeniden başlatılır başlatılmaz tüm bölgelerdeki contoso sorguları başarısız olur.
  6. DNS veritabanında contoso girdisi zaten varsa ve engelleme listesine de contoso girdisini eklersem ne olur?
    Yanıt: "contoso.bölgem.com" sorguları başarısız olur.
  7. Ağımda dağıttığım bir WPAD sunucusu var. Bu sorundan etkilenir miyim?
    Yanıt: Hayır. WPAD ağda dağıtılmışsa ve DNS'de ad WPAD zaten kaydettirilmişse engellenmez. Ancak WPAD ağda varsa ve DNS'de hiçbir girdi olmadan DHCP kullanarak wpad.dat dosyasını dağıtıyorsa, WPAD için DNS sorgusu engellenir.
  8. Engelleme listesini yapılandırmak için DNSCMD.exe kullanabilir miyim?
    Yanıt: Hayır. Yalnızca kayıt defterindeki engelleme listesini değiştirebilirsiniz.
  9. Engellenen girdilerin DNS sunucusunda kaydettirilmesi başarısız olur mu?
    Yanıt: Hayır. Engelleme listesi özelliğinin bir parçası olarak, kayıt işlemleri başarıyla gerçekleştirilir. Yalnızca engellenen girdilerin sorguları başarısız olur.
  10. Bu özellik yalnızca Ana Bilgisayar (tür A veya AAAA) sorgularını mı engelliyor?
    Yanıt: Hayır, engelleme listesindeki adlara yönelik tüm sorgular engellenir.
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE WinNT Win2000
Özellikler

Makale No: 968732 - Son İnceleme: 01/18/2010 13:15:05 - Düzeltme: 4.0

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Service Pack 4

  • kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
Geri bildirim