• Article

Avis de sécurité

Conseils de sécurité Microsoft 971888

Mise à jour pour la dévolution DNS

Publié : 09 juin 2009

Version : 1.0

Microsoft annonce la disponibilité d’une mise à jour vers la dévolution DNS qui peut aider les clients à protéger leurs systèmes. Les clients dont le nom de domaine a trois étiquettes ou plus, telles que « contoso.co.us », ou qui n’ont pas de liste de suffixes DNS configurée, ou pour lesquels les facteurs d’atténuation suivants ne s’appliquent pas peuvent autoriser par inadvertance les systèmes clients à traiter les systèmes en dehors de la limite organisationnelle comme s’ils étaient internes à la limite de l’organisation.

Facteurs d’atténuation :

  • Les clients qui sont joints à un domaine et qui ont une liste de recherche de suffixe DNS configurée sur leur système ne sont pas à risque de traiter par inadvertance des systèmes externes comme s’ils étaient internes. Microsoft encourage tous les clients d’entreprise à définir des listes de recherche de suffixes DNS sur les systèmes clients afin de garantir que toutes les requêtes DNS restent dans les limites de l’organisation.
  • Dans la plupart des cas, les utilisateurs domestiques qui ne sont pas membres d’un domaine n’utilisent pas la dévolution DNS et ne sont donc pas exposés à ce risque. Les utilisateurs à domicile qui ne sont pas membres d’un domaine, mais qui ont configuré un suffixe DNS principal, utilisent toutefois la dévolution DNS et risquent de traiter par inadvertance des systèmes externes comme s’ils étaient internes.
  • Les clients dont le nom de domaine DNS se compose de deux étiquettes ne sont pas exposés à ce risque. Un exemple de client qui n’est pas affecté est contoso.com ou fabrikam.gov, où « contoso » et « fabrikam » sont des noms de domaine inscrits par le client sous leurs domaines de niveau supérieur respectifs « .com » et « .gov ».

Informations générales

Vue d’ensemble

Objectif de l’avis : fournir des clarifications et des notifications sur la disponibilité d’une mise à jour non liée à la sécurité qui peut aider les clients à protéger leurs systèmes.

État consultatif : l’article de la Base de connaissances Microsoft et les mises à jour associées ont été publiées.

Recommandation : passez en revue la base de connaissances référencée et appliquez les mises à jour appropriées.

Références Identification
Article de la Base de connaissances Microsoft 957579

Cet avis traite du logiciel suivant.

Logiciel affecté
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 et Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 avec SP2 pour les systèmes Itanium
Windows Vista, Windows Vista Service Pack 1 et Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 et Windows Vista x64 Edition Service Pack 2
Windows Server 2008 pour les systèmes 32 bits et Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour les systèmes x64 et Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour les systèmes Itanium et Windows Server 2008 pour les systèmes Itanium Service Pack 2

Forums Aux Questions (FAQ)

Quelle est la portée de l’avis ?
Cet avis fournit une notification indiquant que les mises à jour sont disponibles pour définir une limite organisationnelle pour les systèmes joints à un domaine, mais qu’aucune liste de suffixes DNS n’est configurée. Mises à jour sont disponibles pour le logiciel répertorié dans le Section Vue d’ensemble.

Qu’est-ce qu’un domaine de niveau supérieur (TLD) ?
Le domaine de niveau supérieur (TLD) est la dernière partie d’un nom de domaine Internet. Il s’agit des lettres qui suivent le point final d’un nom de domaine. Par exemple, dans le nom de domaine wpad.western.corp.contoso.co.us, le TLD est « ». Les TLD peuvent être principalement divisés en deux types : le code de pays et le générique. Les TLD de code de pays sont deux abréviations de lettres pour chaque pays. Dans cet exemple, .us est destiné à États-Unis. Les TLD génériques sont les abréviations de trois lettres (ou plus) plus reconnaissables, telles que .com, .net, .org, etc. Pour obtenir la liste complète de tous les TLD disponibles, reportez-vous à la liste suivante à l’adresse IANA.

Qu’est-ce qu’un suffixe DNS principal (PDS) ?
Il s’agit du nom de domaine ajouté à droite du nom d’hôte d’une étiquette unique d’un ordinateur. Un nom de domaine complet (FQDN) peut être défini comme <nom> d’hôte.<suffixe> DNS principal. Par défaut, la partie de suffixe DNS principale du nom de domaine complet d’un ordinateur est identique au nom du domaine Active Directory auquel l’ordinateur est joint. Toutefois, le PDS d’un ordinateur peut être différent du domaine DNS auquel il est joint lorsqu’il est configuré via la boîte de dialogue Propriétés à partir de Mon ordinateur.

Qu’est-ce qu’un domaine de second niveau (SLD) ?
Un domaine de deuxième niveau (SLD) est un domaine situé directement « en dessous » ou à gauche du TLD. Dans l’exemple précédent, wpad.western.corp.contoso.co.us, le SLD est « .co ». L’inscription la plus courante des SLA est sous les TLD du code du pays. Le États-Unis utilise principalement le SLD pour l’inscription de l’État américain comme « .co.us » pour l’état du Colorado, par exemple. Les SLD non-US réutilisent souvent des noms TLD courants tels que « com.sg ».

Que fait la fonctionnalité de dévolution DNS ?
La dévolution est une fonctionnalité de client DNS Windows. La dévolution est le processus par lequel les clients DNS Windows résolvent les requêtes DNS pour les noms d’hôte non qualifiés à étiquette unique. Les requêtes sont construites en ajoutant PDS au nom d’hôte. La requête est retentée en supprimant systématiquement l’étiquette la plus à gauche dans le PDS jusqu’à ce que le nom d’hôte + pdS restant soit résolu ou que deux étiquettes restent dans le PDS supprimé. Par exemple, les clients Windows qui recherchent « Étiquette unique » dans le domaine western.corp.contoso.co.us interrogent progressivement Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us, puis Single-label.co.us jusqu’à ce qu’il trouve un système qui se résout. Ce processus est appelé dévolution. Pour plus d’informations sur le service client DNS et la dévolution, consultez la section Résolution de noms pour les noms à étiquette unique, noms de domaine non qualifiés dans l’article TechNet, Notions de base TCP/IP pour Windows, chapitre 9 - Prise en charge de Windows pour DNS.

Qu’est-ce qui provoque ce risque ?
Un utilisateur malveillant peut héberger un système avec un nom d’étiquette unique en dehors de la limite d’une organisation et, en raison de la dévolution DNS, un client DNS Windows peut s’y connecter comme s’il était interne à la limite organisationnelle. Par exemple, si le suffixe DNS d’une entreprise est corp.contoso.co.us et qu’une tentative est effectuée pour résoudre un nom d’hôte non qualifié de « Single-Label », le programme de résolution DNS essaie Single-Label.corp.contoso.co.us. S’il est introuvable, il essaie, via la dévolution DNS, de résoudre Single-label.contoso.co.us. S’il est introuvable, il tente de résoudre Single-label.co.us, qui se trouve en dehors du domaine contoso.co.us.

Quelles sont les implications des requêtes en dehors de la limite organisationnelle ?
Les implications varient en fonction de la requête qui échappe à la limite de l’organisation.

Toutes les requêtes exposent les adresses IP internes. Les clients réseau peuvent échanger des informations d’identification avec le serveur malveillant. Si la requête concerne un serveur WPAD, un proxy malveillant peut être défini sur les ordinateurs clients.

Cette mise à jour modifie-t-elle mon comportement actuel de dévolution DNS ?
Oui. La mise à jour case activée s pour voir quel domaine du client Windows est et limite les requêtes DNS au sein de ce domaine. Pour plus d’informations et des exemples de changement de comportement de dévolution DNS, consultez l’article de la Base de connaissances Microsoft 957579.

Existe-t-il une modification de l’expérience utilisateur une fois cette mise à jour installée ?
Oui. Une fois la mise à jour installée, le programme de résolution DNS effectue uniquement une dévolution vers un niveau basé sur les paramètres de domaine du client Windows, ce qui peut interrompre les applications ou configurations qui s’appuient sur ce comportement. Pour plus d’informations sur la modification du comportement de dévolution DNS, consultez l’article 957579 de la Base de connaissances Microsoft.

Il s’agit d’un avis de sécurité concernant une mise à jour non liée à la sécurité. N’est-ce pas une contradiction ?
Les avis de sécurité traitent des modifications de sécurité qui peuvent ne pas nécessiter de bulletin de sécurité, mais qui peuvent toujours affecter la sécurité globale du client. Les avis de sécurité permettent à Microsoft de communiquer des informations relatives à la sécurité aux clients sur les problèmes susceptibles de ne pas être classés comme des vulnérabilités et peuvent ne pas nécessiter de bulletin de sécurité ou des problèmes pour lesquels aucun bulletin de sécurité n’a été publié. Dans ce cas, nous transmettons la disponibilité d’une mise à jour qui affecte votre capacité à effectuer les mises à jour suivantes, y compris les mises à jour de sécurité. Par conséquent, cet avis ne traite pas d’une vulnérabilité de sécurité spécifique ; il traite plutôt de votre sécurité globale.

Comment cette mise à jour est-elle proposée ?
Ces mises à jour sont disponibles dans le Centre de téléchargement Microsoft. Les liens directs vers les mises à jour des logiciels affectés spécifiques sont répertoriés dans la table Logiciels affectés dans la section Vue d’ensemble . Pour plus d’informations sur la mise à jour et les modifications apportées au comportement, consultez l’article de la Base de connaissances Microsoft 957579.

Cette mise à jour est-elle distribuée sur la mise à jour automatique ?
Non. Ces mises à jour ne sont pas distribuées sur le mécanisme de mise à jour automatique. Les mises à jour sont disponibles uniquement à partir du Centre de téléchargement Microsoft. Les liens directs vers les mises à jour des logiciels affectés spécifiques sont répertoriés dans la table Logiciels affectés dans la section Vue d’ensemble .

Pourquoi cette mise à jour de sécurité n’est-elle pas annoncée dans un bulletin de sécurité ?
Il s’agit d’un problème de configuration. La dévolution DNS fonctionne comme prévu et certains clients peuvent dépendre de la dévolution DNS pour atteindre légitimement les ressources hors de leur limite organisationnelle et les traiter comme des ressources internes.

Pourquoi cette mise à jour est-elle proposée dans un avis de sécurité ?
Il se peut que les clients Windows de leur environnement utilisent la dévolution. La dévolution peut permettre aux clients de traiter les systèmes hors de leur limite en tant que ressources internes et donc ils sont susceptibles d’abandonner les informations d’identification ou de s’exposer à des vulnérabilités de type de divulgation d’informations.

Actions suggérées

Solutions de contournement

Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas le risque sous-jacent, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée dans la section suivante.

Désactiver la dévolution DNS

Pour désactiver la dévolution DNS automatique, enregistrez les éléments suivants dans un fichier avec un . Extension REG, puis exécutez regedit.exe fichier> /s <à partir d’une invite de commandes avec élévation de privilèges ou d’administration :

Notez que reportez-vous à l’article TechNet, UseDomainNameDevolution, pour plus d’informations sur la valeur de Registre UseDomainNameDevolution.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000

Pour que les modifications prennent effet, le service client DNS doit être arrêté et redémarré. Cette opération peut être effectuée à partir d’une invite de commandes avec élévation de privilèges ou d’administration à l’aide de la commande suivante :

net stop dnscache & net start dnscache

Impact de la solution de contournement : le programme de résolution DNS n’effectue pas de dévolution, ce qui risque de briser les applications ou configurations qui s’appuient sur ce comportement. Les applications qui effectuent leur propre forme de dévolution ne sont pas affectées par ce paramètre.

Configurer une liste de recherche de suffixes de domaine

Pour créer une liste de recherche de suffixes de domaine, enregistrez ce qui suit dans un fichier avec un . Extension REG, puis exécutez regedit.exe fichier> /s <à partir d’une invite de commandes avec élévation de privilèges ou d’administration :

Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific="specific" search="search" list="list">

Notez que Windows Server 2003 inclut la possibilité de distribuer la liste de recherche de suffixes de domaine via la stratégie de groupe. Pour plus d’informations, consultez la base de connaissances Microsoft 294785 dans la section Liste de recherche de suffixes DNS.

Impact de la solution de contournement : lorsqu’une liste de recherche de suffixe de domaine est configurée sur les systèmes clients, seule cette liste de suffixes est utilisée dans les requêtes DNS. Le suffixe DNS principal et tous les suffixes DNS spécifiques à la connexion ne sont pas utilisés. Le programme de résolution DNS n’effectue pas de dévolution, ce qui risque de briser toutes les applications ou configurations qui s’appuient sur ce comportement.

Autres informations

Ressources :

  • Vous pouvez fournir des commentaires en remplissant le formulaire en visitant le site web suivant.
  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez le site Web aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le site web du support international.
  • Le site web Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité :

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions:

  • V1.0 (9 juin 2009) : avis publié.

Construit à 2014-04-18T13 :49 :36Z-07 :00