您目前已離線,請等候您的網際網路重新連線

安裝 DNS 伺服器安全性更新之後,DNS 伺服器行為的變更

Windows XP 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Windows XP 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

簡介

在安裝 DNS 伺服器安全性更新後的伺服器電腦安裝後行為

本知識庫文件的目的是為了讓使用者了解受到 DNS 伺服器功能近期改變所影響的情況。我們儘可能嘗試讓本文件一般化。請完整閱讀本文件,並利用它來瞭解您的企業環境是否及如何受到此更新的影響。

如需有關 DNS 伺服器安全性更新的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
961063MS09-008:說明 DNS 伺服器的安全性更新:2009 年 3 月 10 日
其他相關資訊

定義表

詞彙定義
網域名稱系統 (DNS)網域名稱系統是網際網路標準通訊協定,可將名稱轉譯成 IP 位址,也可反向轉譯。
WPADWeb Proxy 自動尋找通訊協定
ISATAP內部網站自動通道定址通訊協定

安全性問題概觀

Internet Explorer 與類似用戶端會使用 Web Proxy 自動尋找 (WPAD) 通訊協定來搜尋 Proxy 伺服器。用戶端電腦會藉由解析名稱 WPAD 和使用 DNS 來尋找 WPAD 伺服器。ISATAP (內部網站自動通道定址通訊協定) 是 IPv6 轉換技術。DNS 用戶端會執行 ISATAP 探索,此方法與用於 WPAD 的方法類似。 在公司網路內部惡意登錄 WPAD 或 ISATAP 項目會讓攻擊者設定惡意 Proxy。已有這個安全性問題的因應措施。例如,您可以在 DNS 資料庫中登錄保留的名稱主機項目。系統管理員必須登錄主機名稱,而不登錄 IP 位址,因此保留名稱主機項目。

在套用安全性更新後對 DNS 的變更

在套用 DNS 安全性更新後,會發生下列 DNS 的變更:
  • 安全性更新會自動建立一個由 DNS 使用的封鎖清單。系統會對照封鎖清單檢查每個名稱查詢要求,並針對所列的名稱查詢封鎖傳送負值回應。
  • 執行更新時,封鎖清單預設值是依伺服器所授權的區域資料而定。如果區域資料沒有包含 WPAD 或 ISATAP 項目,則會在封鎖清單中填入 WPAD 或 ISATAP 項目。
  • 如果 DNS 資料庫已經有任何上述的項目,則 WPAD 或 ISATAP 項目不會填入封鎖清單中。
  • 系統管理員可以設定和編輯登錄中的封鎖清單。DNS 服務必須重新啟動,才能接受新的封鎖清單。
  • 對於 DNS,封鎖清單會套用到伺服器所主控的所有區域。您不允許在一個區域中查詢 WPAD 與 ISATAP,但另一個區域則允許。
  • 封鎖清單儲存在每個伺服器的登錄中。封鎖清單項目不會複寫到多個伺服器上。

常見問題集

  1. 如果我將 DNS 伺服器升級至 LH 伺服器,會發生什麼狀況?
    回答: 使用 WPAD 和 ISATAP 有效項目的 DNS 伺服器會如同以往般的繼續運作。
  2. 封鎖清單登錄項目的位置為何?
    回答: 封鎖清單使用下列子機碼中的 GlobalQueryBlockList REG_MULTI_SZ 項目:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. 如果我把登錄中的封鎖清單項目刪除了,會發生什麼狀況?
    回答: 所有 WPAD 和 ISATAP 的查詢將於服務啟動後成功執行。
  4. 如果我刪除了 GlobalQueryBlockList 登錄機碼,會發生什麼狀況?
    回答: 服務啟動後,機碼會新增回來,且預設的封鎖清單值會重新填入。所有非 TXT 的 WPAD 及 ISATAP 查詢將會被封鎖。
  5. 如果我把 "contoso" 項目新增到封鎖清單中,會發生什麼狀況?
    回答: 在封鎖清單中新增該項目後,只要服務重新啟動,所有任何區域中對 contoso 的查詢都會失敗。
  6. 如果我的 DNS 資料庫中已經有 contoso 項目,我也在封鎖清單中新增了 contoso,會發生什麼狀況?
    回答: 對 "contoso.myzone.com" 的查詢會失敗。
  7. 我已在網路上部署了 WPAD 伺服器,我會受到影響嗎?
    回答: 不會。如果您在網路上已部署 WPAD,且您在 DNS 中已登錄名稱 WPAD,則不會封鎖它。但是如果您在網路上有 WPAD,而 WPAD 使用 DHCP 來散佈 wpad.dat 檔,且 DNS 中沒有任何項目,則會封鎖 DNS 對 WPAD 的查詢。
  8. 我可以使用 DNSCMD.exe 來設定封鎖清單嗎?
    回答: 不可以。您只能變更登錄中的封鎖清單。
  9. 在 DNS 伺服器中登錄已封鎖的項目會失敗嗎?
    回答: 不會。登錄會成功,因為這是封鎖清單功能的一部分。只有查詢已封鎖的項目才會失敗。
  10. 只有主機 ( A 或 AAAA 型) 查詢會被此功能封鎖嗎?
    回答: 不是。對封鎖清單中名稱的所有種類查詢都會被封鎖。
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE WinNT Win2000
內容

文章識別碼:968732 - 最後檢閱時間:01/18/2010 12:48:07 - 修訂: 4.0

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Service Pack 4

  • kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
意見反應
ute = "76500"; var Ctrl = ""; document.write("