Cikk
03/14/2024

Biztonsági tanácsadás

Microsoft Security Advisory 971888

A DNS-devolution frissítése

Közzétéve: 2009. június 09.

Verzió: 1.0

A Microsoft bejelentette a DNS-devolution frissítésének elérhetőségét, amely segíthet az ügyfeleknek a rendszerek védelmében. Azok az ügyfelek, akiknek a tartományneve három vagy több címkével rendelkezik, például "contoso.co.us", vagy akiknek nincs konfigurálva DNS-utótaglistája, vagy akikre az alábbi enyhítő tényezők nem vonatkoznak, véletlenül lehetővé tehetik az ügyfélrendszerek számára, hogy úgy kezeljék a szervezeti határokon kívüli rendszereket, mintha a szervezet határain belül lennének.

Enyhítő tényezők:

Azok az ügyfelek, akik egy tartományhoz csatlakoznak, és rendelkeznek a rendszerükön konfigurált DNS-utótag keresési listával, nem kockáztatják, hogy véletlenül úgy kezeljék a külső rendszereket, mintha belsőek lennének. A Microsoft arra ösztönzi a nagyvállalati ügyfeleket, hogy állítsanak be DNS-utótag keresési listákat az ügyfélrendszereken annak érdekében, hogy az összes DNS-lekérdezés a szervezeti határokon belül maradjon.
A legtöbb esetben azok az otthoni felhasználók, akik nem tagjai a tartománynak, nem használják a DNS-devolutációt, ezért nem teszik ki ezt a kockázatot. Azok az otthoni felhasználók azonban, akik nem tagjai a tartománynak, de elsődleges DNS-utótagot konfiguráltak, dns-devolutációt használnak, és fennáll a veszélye annak, hogy véletlenül úgy kezelik a külső rendszereket, mintha belsőek lennének.
Azok az ügyfelek, akiknek a DNS-tartományneve két címkéből áll, nem lesznek kitéve ennek a kockázatnak. A nem érintett ügyfelekre példa a contoso.com vagy a fabrikam.gov, ahol a "contoso" és a "fabrikam" az ügyfél által regisztrált tartománynevek a megfelelő ".com" és a ".gov" legfelső szintű tartományok (TLD-k) alatt.

Általános információk

Áttekintés

A tanácsadás célja: A nem biztonsági frissítés elérhetőségének pontosítása és értesítése, amely segíthet az ügyfeleknek a rendszerek védelmében.

Tanácsadói állapot: Megjelent a Microsoft tudásbáziscikke és a hozzá tartozó frissítések.

Javaslat: Tekintse át a hivatkozott tudásbázist, és alkalmazza a megfelelő frissítéseket.

Hivatkozások	Azonosítás
Microsoft Tudásbáziscikk	957579

Ez a tanácsadás az alábbi szoftvereket ismerteti.

Érintett szoftver
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 és Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP2 itanium-alapú rendszerekhez
Windows Vista, Windows Vista Service Pack 1 és Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 és Windows Vista x64 Edition Service Pack 2
Windows Server 2008 32 bites rendszerekhez és Windows Server 2008 32 bites Systems Service Pack 2 rendszerhez
Windows Server 2008 x64-alapú rendszerekhez és Windows Server 2008 x64-alapú Rendszerek Service Pack 2-hez
Az Itanium-alapú Windows Server 2008 és a Windows Server 2008 for Itanium-alapú Systems Service Pack 2

Gyakori kérdések

Mi a tanácsadás hatóköre?
Ez a tanácsadás értesítést nyújt arról, hogy elérhetők olyan frissítések, amelyek segítenek meghatározni a tartományhoz csatlakoztatott, de dns-utótaglistával nem rendelkező rendszerek szervezeti határait. Frissítések elérhetők a Áttekintés szakasz.

Mi az a legfelső szintű tartomány (TLD)?
A legfelső szintű tartomány (TLD) az internetes tartománynév utolsó része. Ezek azok a betűk, amelyek bármely tartománynév utolsó pontját követik. A wpad.western.corp.contoso.co.us tartománynévben például a TLD a ".us". A TLD-k elsősorban két típusra oszthatók: országkódra és általánosra. Az országkód TLD-jei két betű rövidítést jelentenek az egyes országokhoz. Ebben a példában a .us Egyesült Államok. Az általános TLD-k a hagyományosan felismerhető három (vagy nagyobb) betű rövidítések, például .com, .net, .org stb. Az összes elérhető TLD teljes listájáért tekintse meg az alábbi listát az IANA-nál.

Mi az elsődleges DNS-utótag (PDS)?
Ez a tartománynév hozzáfűzve a számítógép egyetlen címke gazdagépének nevéhez. A teljes tartománynév (FQDN) gazdanévként <>definiálható.<elsődleges DNS-utótag>. Alapértelmezés szerint a számítógép teljes tartományneve elsődleges DNS-utótagja megegyezik annak az Active Directory-tartománynak a nevével, amelyhez a számítógép csatlakozik. Előfordulhat azonban, hogy a számítógép PDS-fájlja eltér attól a DNS-tartománytól , amelyhez csatlakozik, amikor a Saját számítógép Tulajdonságok párbeszédpanelén keresztül van konfigurálva.

Mi az a második szintű tartomány (SLD)?
A második szintű tartomány (SLD) közvetlenül a TLD alatt vagy bal oldalán található tartomány. Az előző példában wpad.western.corp.contoso.co.us az SLD a ".co". Az SLD-k leggyakoribb regisztrálása országkódú TLD-k alatt történik. A Egyesült Államok elsősorban az SLD-t használják az USA államregisztrációjára, például a ".co.us"-t Colorado államra. A nem USA-beli SLD-k gyakran használják újra a gyakori TLD-neveket, például a ".com.sg" nevet.

Mit tesz a DNS-devolution funkció?
A devolution egy Windows DNS-ügyfélfunkció. A devolution az a folyamat, amellyel a Windows DNS-ügyfelek feloldják az egycímkés, nem minősített gazdagépnevek DNS-lekérdezéseit. A lekérdezések a PDS állomásnévhez való hozzáfűzésével jönnek létre. A lekérdezés újrapróbálkozásához szisztematikusan eltávolítja a bal oldali címkét a PDS-ben, amíg a gazdagépnév + a fennmaradó PDS meg nem oldódik, vagy csak két címke marad a levágott PDS-ben. A western.corp.contoso.co.us tartományban az "egycímke" kifejezést kereső Windows-ügyfelek például fokozatosan lekérdezik Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us, majd Single-label.co.us, amíg meg nem talál egy feloldott rendszert. Ezt a folyamatot devolutionnak nevezzük. A DNS-ügyfélszolgáltatással és -devolúcióval kapcsolatos további információkért tekintse meg az egycímkés, nem minősített tartománynevek névfeloldását ismertető szakaszt a TechNet-cikk TCP/IP alapjai Windowshoz, 9. fejezet – A DNS Windows-támogatása című szakaszában.

Mi okozza ezt a kockázatot?
A rosszindulatú felhasználók a szervezet határain kívül is üzemeltethetnek egy egycímkés nevű rendszert, és a DNS-devolutáció miatt előfordulhat, hogy a Windows DNS-ügyfél sikeresen csatlakozik hozzá, mintha a szervezeti határon belül lenne. Ha például egy vállalat DNS-utótagját corp.contoso.co.us, és megpróbálják feloldani az "egycímke" nem minősített gazdagépnevét, a DNS-feloldó megpróbálja Single-Label.corp.contoso.co.us. Ha ez nem található, a DNS-devolution használatával megpróbálja feloldani a Single-label.contoso.co.us. Ha ez nem található, megpróbálja feloldani a Single-label.co.us, amely a contoso.co.us tartományon kívül esik.

Milyen következményekkel jár a szervezeti határokon kívülre irányuló lekérdezések?
A következmények a szervezeti határt átlépő lekérdezéstől függően változnak.

Minden lekérdezés elérhetővé tenné a belső IP-címeket. A hálózati ügyfelek hitelesítő adatokat cserélhetnek a rosszindulatú kiszolgálóval. Ha a lekérdezés WPAD-kiszolgálóra vonatkozik, előfordulhat, hogy rosszindulatú proxy van beállítva az ügyfélgépeken.

Ez a frissítés módosítja az aktuális DNS-devolúciós viselkedésemet?
Igen. A frissítés ellenőrzi, hogy mi a Windows-ügyfél tartománya, és korlátozza a DNS-lekérdezéseket a tartományon belül. A DNS-devolutálási viselkedés változásáról további információt és példákat a Microsoft Tudásbázis 957579.

A frissítés telepítése után megváltozik a felhasználói élmény?
Igen. A frissítés telepítése után a DNS-feloldó csak a Windows-ügyfél tartománybeállításai alapján hajtja végre a devolúciót egy szintre, ami az ilyen viselkedésre támaszkodó alkalmazások vagy konfigurációk sérülését jelentheti. A DNS-devolution viselkedésének változásáról a Microsoft Tudásbázis 957579 című cikkében talál további információt.

Ez egy biztonsági tanácsadás egy nem biztonsági frissítéssel kapcsolatban. Ez nem ellentmondás?
A biztonsági tanácsadók olyan biztonsági módosításokat kezelnek, amelyek nem igényelnek biztonsági közleményt, de továbbra is hatással lehetnek az ügyfél általános biztonságára. A biztonsági tanácsadók lehetővé teszik a Microsoft számára, hogy biztonsági információkat közöljön az ügyfelekkel olyan problémákról, amelyek nem minősülhetnek biztonsági résnek, és nem igényelnek biztonsági közleményt, vagy olyan problémákról, amelyekről nem adtak ki biztonsági közleményt. Ebben az esetben egy olyan frissítés elérhetőségét közöljük, amely hatással van a későbbi frissítések végrehajtására, beleértve a biztonsági frissítéseket is. Ezért ez a tanácsadás nem foglalkozik egy adott biztonsági réssel; hanem az általános biztonságra is ki van adva.

Hogyan érhető el ez a frissítés?
Ezek a frissítések a Microsoft letöltőközpontjában érhetők el. Az érintett szoftverek frissítésére mutató közvetlen hivatkozások az Áttekintés szakaszban található Érintett szoftverek táblában találhatók. A frissítésről és a viselkedés változásairól további információt a Microsoft Tudásbázis 957579.

Ez a frissítés el van terjesztve az automatikus frissítésen?
Szám Ezek a frissítések nem lesznek elosztva az automatikus frissítési mechanizmuson keresztül. A frissítések csak a Microsoft letöltőközpontból érhetők el. Az érintett szoftverek frissítésére mutató közvetlen hivatkozások az Áttekintés szakaszban található Érintett szoftverek táblában találhatók.

Miért nem egy biztonsági közleményben bejelentett biztonsági frissítésről van szó?
Ez egy konfigurációs probléma. A DNS-devolúció a célnak megfelelően működik, és egyes ügyfelek a DNS-devolutációtól függhetnek, hogy jogszerűen elérjék az objektumokat a szervezeti határtól, és belső eszközként kezeljék őket.

Miért ajánlott ez a frissítés egy biztonsági tanácsadásban?
Előfordulhat, hogy az ügyfelek nem tudják, hogy a környezetükben lévő Windows-ügyfelek decentralizációt használnak. A devolúció lehetővé teheti az ügyfelek számára, hogy belső eszközként kezeljék a rendszereiket a határukon kívül, így valószínűleg lemondanak a hitelesítő adatokról, vagy felfedik magukat az információfeltárási típusú biztonsági rések miatt.

Javasolt műveletek

Kerülő megoldások

A Microsoft az alábbi kerülő megoldásokat tesztelte. Bár ezek a kerülő megoldások nem javítják a mögöttes kockázatot, segítenek blokkolni az ismert támadási vektorokat. Ha egy kerülő megoldás csökkenti a funkciókat, az a következő szakaszban lesz azonosítva.

DNS-devolution letiltása

Az automatikus DNS-devolúció letiltásához mentse az alábbiakat egy fájlba egy . REG kiterjesztés, majd futtassa regedit.exe /s <fájlnevet> egy rendszergazdai vagy rendszergazdai parancssorból:

Megjegyzés: A UseDomainNameDevolution beállításjegyzék értékével kapcsolatos további információkért tekintse meg a TechNet UseDomainNameDevolution című cikkét.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000

A módosítások érvénybe lépéséhez le kell állítani a DNS-ügyfélszolgáltatást, és újra kell indítani. Ez egy rendszergazdai vagy rendszergazdai parancssorból végezhető el a következő paranccsal:

net stop dnscache & net start dnscache

A megkerülő megoldás hatása: A DNS-feloldó nem hajt végre decentralizációt, ami potenciálisan megszakítja az ilyen viselkedésre támaszkodó alkalmazásokat vagy konfigurációkat. Ez a beállítás nem érinti azokat az alkalmazásokat, amelyek saját formájukban végzik a devolúciót.

Tartomány utótagkeresési listájának konfigurálása

Tartomány utótagkeresési listájának létrehozásához mentse az alábbiakat egy fájlba egy . REG kiterjesztés, majd futtassa regedit.exe /s <fájlnevet> egy rendszergazdai vagy rendszergazdai parancssorból:

Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific="specific" search="search" list="list">

Megjegyzés: A Windows Server 2003 lehetővé teszi a tartomány utótagkeresési listájának csoportházirenden keresztüli terjesztését. További információ: Microsoft Tudásbázis 294785 a DNS-utótagok keresési listájának szakaszában.

A megkerülő megoldás hatása: Ha egy tartományi utótag keresési listája ügyfélrendszereken van konfigurálva, csak ezt az utótaglistát használja a RENDSZER a DNS-lekérdezésekben. A rendszer nem használja az elsődleges DNS-utótagot és a kapcsolatspecifikus DNS-utótagokat. A DNS-feloldó nem hajt végre devolutációt, ami potenciálisan feltöri az ilyen viselkedésre támaszkodó alkalmazásokat vagy konfigurációkat.

Egyéb információk

Erőforrások:

Az űrlap kitöltésével az alábbi webhelyre kattintva küldhet visszajelzést.
A Egyesült Államok és Kanada ügyfelei technikai támogatást kaphatnak a biztonsági támogatástól. Az elérhető támogatási lehetőségekről további információt a Microsoft súgójában és támogatási webhelyén talál.
A nemzetközi ügyfelek támogatást kaphatnak helyi Microsoft-leányvállalataiktól. A Microsoft nemzetközi támogatási problémáival kapcsolatos további információkért látogasson el a Nemzetközi támogatási webhelyre.
A Microsoft TechNet Security webhely további információkat nyújt a Microsoft-termékek biztonságáról.

Felelősséget kizáró nyilatkozat:

A jelen tanácsadásban megadott információk bármilyen garanciális szavatosság nélkül". A Microsoft kizár minden kifejezett vagy vélelmezett garanciát, beleértve a kereskedelmi forgalomra és az adott célra való alkalmasságra vonatkozó szavatosságot. A Microsoft Corporation vagy beszállítói semmilyen esetben sem vonhatók felelősségre semmilyen kárért, beleértve a közvetlen, közvetett, járulékos, következményi, üzleti nyereség elvesztését vagy különleges károkat, még akkor sem, ha a Microsoft Corporationt vagy szállítóit értesítették az ilyen károk lehetőségéről. Egyes államok nem teszik lehetővé a következményi vagy járulékos károkért való felelősség kizárását vagy korlátozását, így a fenti korlátozás nem alkalmazható.

Felülvizsgálatok:

1.0-s verzió (2009. június 9.): Tanácsadó megjelent.

Készült: 2014-04-18T13:49:36Z-07:00