你目前正处于脱机状态,正在等待 Internet 重新连接

安装 DNS 服务器的安全更新后 DNS 服务器行为所发生的更改

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

简介

安装 DNS 服务器安全更新后服务器计算机上的安装后行为

此知识库文章旨在指导用户了解即将对 DNS 服务器功能进行的更改所影响的方案。我们尽最大努力使此文档常规化。请通读本文,以便了解您的企业环境是否受此更新的影响以及受影响的情况。

有关 DNS 服务器安全更新的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
961063MS09-008:DNS 服务器安全更新的说明:2009 年 3 月 10 日
更多信息

定义表

术语定义
域名系统 (DNS)域名系统是将名称转换为 IP 地址(反之亦然)的 Internet 标准协议。
WPADWeb 代理自动发现协议
ISATAP站内自动隧道寻址协议

安全问题概述

Internet Explorer 和类似客户端通过使用 Web 代理自动发现协议 (WPAD) 搜索代理服务器。客户端计算机通过解析名称 WPAD 和使用 DNS 查找 WPAD 服务器。ISATAP(站内自动隧道寻址协议)是一种 IPv6 转换技术。DNS 客户端执行 ISATAP 发现,这类似于用于 WPAD 的方法。 公司网络内 WPAD 或 ISATAP 项的恶意注册会允许攻击者配置恶意代理。此安全问题具有替代方法。例如,您可以在 DNS 数据库中注册保留名称主机项。管理员必须在未注册 IP 地址的情况下注册主机名,这样才能保留名称主机项。

应用安全更新后 DNS 所发生的更改

在您应用 DNS 安全更新后,DNS 将会发生下列更改:
  • 该安全更新将自动创建由 DNS 使用的阻止列表。将针对阻止列表检查每个名称查询请求,并会向列表中阻止的名称查询发送否定响应。
  • 阻止列表默认情况下依赖运行更新时服务器对其具有权威性的区域中的数据。如果区域数据不包含 WPAD 或 ISATAP 项,则在阻止列表中填充 WPAD 或 ISATAP 项。
  • 如果 DNS 数据库已经具有其中的任意项,则不会在阻止列表中填充 WPAD 或 ISATAP 项。
  • 管理员可以在注册表中配置和编辑该阻止列表。必须重新启动 DNS 服务才能接受新的阻止列表。
  • 对于 DNS,阻止列表适用于服务器承载的所有区域。您无法在一个区域中允许 WPAD 和 ISATAP 查询,而在另一个区域中却不允许这些查询。
  • 注册表中存储了每个服务器的阻止列表。多个服务器之间没有重复的阻止列表项。

常见问题解答

  1. 如果我将 DNS 服务器升级到 LH 服务器会发生什么情况?
    答:使用 WPAD 和 ISATAP 有效项的 DNS 服务器将仍与以前一样正常工作。
  2. 阻止列表的注册表项位置是什么?
    答: 阻止列表使用下列子项中的 GlobalQueryBlockList REG_MULTI_SZ 项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. 如果我删除了注册表中的阻止列表项,该怎么办?
    答:重新启动服务后,所有对 WPAD 和 ISATAP 的查询都将成功。
  4. 如果删除 GlobalQueryBlockList 注册表项,会发生什么情况?
    答复:重新启动服务后,将重新添加回注册表项,并会重新填充默认的阻止列表值。所有非 TXT WPAD 和 ISATAP 查询都将被阻止。
  5. 如果我将“contoso”项添加到注册表的阻止列表中,该怎么办?
    答:在阻止列表中添加该项后只要重新启动服务,任何区域中的所有 contoso 查询都将失败。
  6. 如果我在 DNS 数据库中已经具有 contoso 项,并且也在阻止列表中添加了 contoso,将会发生什么情况?
    答:对“contoso.myzone.com”的查询将失败。
  7. 我已在网络中部署了 WPAD 服务器。是否会受到影响?
    答:不会。如果您已在网络中部署了 WPAD,并且也已在 DNS 中注册了名称 WPAD,则将不会受到阻止。但是,如果您在网络中具有 WPAD,且它使用 DHCP 分发 wpad.dat 文件而 DNS 中没有任何项,则将会阻止 WPAD 的 DNS 查询。
  8. 我可以使用 DNSCMD.exe 配置阻止列表吗?
    答:不可以。您只能更改注册表中的阻止列表。
  9. 阻止项在 DNS 服务器中会注册失败吗?
    答:不会。作为阻止列表功能的一部分,注册将会成功。只有阻止项的查询会失败。
  10. 仅主机(类型 A 或 AAAA)查询会被此功能阻止吗?
    答:不是,阻止列表中所有类型的名称查询都会被阻止。
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE WinNT Win2000
属性

文章 ID:968732 - 上次审阅时间:01/18/2010 08:35:14 - 修订版本: 4.0

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Service Pack 4

  • kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
反馈
"76500"; var Ctrl = ""; document.write("