• 아티클

보안 권고

Microsoft 보안 권고 971888

DNS Devolution 업데이트

게시 날짜: 2009년 6월 9일

버전: 1.0

Microsoft는 고객이 시스템을 보호하는 데 도움이 될 수 있는 DNS 진화 업데이트의 가용성을 발표하고 있습니다. do기본 이름에 "contoso.co.us"과 같은 레이블이 세 개 이상 있거나 DNS 접미사 목록이 구성되지 않았거나 다음과 같은 완화 요소가 적용되지 않는 고객은 실수로 클라이언트 시스템이 조직 경계 외부의 시스템을 조직의 경계 내부인 것처럼 처리할 수 있습니다.

완화 요소:

  • 할 일기본 가입하고 시스템에 DNS 접미사 검색 목록을 구성한 고객은 외부 시스템을 내부인 것처럼 실수로 처리할 위험이 없습니다. Microsoft는 모든 엔터프라이즈 고객이 모든 DNS 쿼리가 조직 경계 내에 유지되도록 클라이언트 시스템에서 DNS 접미사 검색 목록을 설정하도록 권장합니다.
  • 대부분의 경우 do기본 멤버가 아닌 홈 사용자는 DNS 진화를 사용하지 않으므로 이 위험에 노출되지 않습니다. 그러나 do기본 멤버가 아니지만 기본 DNS 접미사를 구성한 홈 사용자는 DNS 진화를 사용하며 외부 시스템을 내부인 것처럼 실수로 처리할 위험이 있습니다.
  • DNS가 기본 이름이 두 개의 레이블로 구성된 고객은 이 위험에 노출되지 않습니다. 영향을 받지 않는 고객의 예로는 contoso.com 또는 fabrikam.gov 있습니다. 여기서 "contoso" 및 "fabrikam"은 각 ".com" 및 ".gov" 최상위 TLL(do기본s) 아래에 고객이 등록한 do기본 이름입니다.

일반 정보

개요

권고의 목적: 고객이 시스템을 보호하는 데 도움이 될 수 있는 비보안 업데이트의 가용성에 대한 설명과 알림을 제공합니다.

권고 상태: Microsoft 기술 자료 문서 및 관련 업데이트가 릴리스되었습니다.

권장 사항: 참조된 기술 자료를 검토하고 적절한 업데이트를 적용합니다.

참조 ID
Microsoft 기술 자료 문서 957579

이 권고에서는 다음 소프트웨어에 대해 설명합니다.

영향을 받는 소프트웨어
Microsoft Windows 2000 서비스 팩 4
Windows XP 서비스 팩 2 및 Windows XP 서비스 팩 3
Windows XP Professional x64 Edition 서비스 팩 2
Windows Server 2003 서비스 팩 2
Windows Server 2003 x64 Edition 서비스 팩 2
Itanium 기반 시스템용 WINDOWS Server 2003 SP2
Windows Vista, Windows Vista 서비스 팩 1 및 Windows Vista 서비스 팩 2
Windows Vista x64 Edition, Windows Vista x64 Edition 서비스 팩 1 및 Windows Vista x64 Edition 서비스 팩 2
32비트 시스템용 Windows Server 2008 및 32비트 시스템 서비스 팩 2용 Windows Server 2008
x64 기반 시스템용 Windows Server 2008 및 x64 기반 시스템 서비스 팩 2용 Windows Server 2008
Itanium 기반 시스템용 Windows Server 2008 및 Itanium 기반 시스템 서비스 팩 2용 Windows Server 2008

질문과 대답

권고의 범위는 무엇입니까?
이 권고는 가입되었지만 DNS 접미사 목록을 구성하지 않은기본 시스템의 조직 경계를 정의하는 데 도움이 되는 업데이트를 사용할 수 있다는 알림을 제공합니다. 업데이트 에 나열된 소프트웨어에 사용할 수 있습니다.개요 섹션입니다.

최상위 TLD(do기본)란?
최상위 TLD(do기본)는 인터넷 do기본 이름의 마지막 부분입니다. 다음은 할 일기본 이름의 마지막 점 뒤에 있는 문자입니다. 예를 들어 do기본 이름 wpad.western.corp.contoso.co.us TLD는 ".us"입니다. TLLD는 주로 국가 코드와 제네릭의 두 가지 형식으로 분할될 수 있습니다. 국가 코드 TLL은 각 국가에 대해 두 글자 약어입니다. 이 예제에서 .us는 미국 위한 것입니다. 제네릭 TLLD는 .com, .net, .org 등 일반적으로 인식할 수 있는 세 개 이상의 문자 약어입니다. 사용 가능한 모든 TLLD의 전체 목록은 IANA에서 다음 목록을 참조하세요.

PDS(기본 DNS 접미사)란?
컴퓨터의 단일 레이블 호스트 이름 오른쪽에 추가된 기본 이름입니다. FQDN(정규화된 do기본 이름)을 호스트 이름으로 <>정의할 수 있습니다.<기본 DNS 접미사>입니다. 기본적으로 컴퓨터 FQDN의 기본 DNS 접미사 부분은 컴퓨터가 조인된 Active Directory의 이름과 동일합니다기본. 그러나 컴퓨터의 PDS는 DNS와 다를 수 있으며기본 내 컴퓨터속성 대화 상자를 통해 구성할 때 조인됩니다.

SLD(두 번째 수준 기본)란?
SLD(두 번째 수준 do기본)는 "아래" 또는 TLD 왼쪽에 있는 do기본입니다. 이전 예제에서 wpad.western.corp.contoso.co.us SLD는 ".co"입니다. SLLD의 가장 일반적인 등록은 국가 코드 TLL 아래에 있습니다. 미국 주로 콜로라도 주에 대해 ".co.us"와 같은 미국 주 등록용 SLD를 사용합니다. 미국 이외의 SLD는 종종 ".com.sg"과 같은 일반적인 TLD 이름을 다시 사용합니다.

DNS 진화 기능은 무엇을 합니까?
Devolution은 Windows DNS 클라이언트 기능입니다. Devolution은 Windows DNS 클라이언트가 단일 레이블의 정규화되지 않은 호스트 이름에 대한 DNS 쿼리를 확인하는 프로세스입니다. 쿼리는 호스트 이름에 PDS를 추가하여 생성됩니다. 쿼리는 호스트 이름 + 다시 기본 PDS가 확인되거나 제거된 PDS에서 두 개의 레이블만 다시 기본 때까지 PDS에서 가장 왼쪽에 있는 레이블을 체계적으로 제거하여 다시 시도됩니다. 예를 들어 western.corp.contoso.co.us "단일 레이블"을 찾는 Windows 클라이언트는 Single-label.western.corp.contoso.co.us 기본 Single-label.corp.contoso.co.us, Single-label.contoso.co.us 점진적으로 쿼리한 다음 해결되는 시스템을 찾을 때까지 Single-label.co.us. 이 프로세스를 진화라고 합니다. DNS 클라이언트 서비스 및 진화에 대한 자세한 내용은 TechNet 문서, Windows용 TCP/IP 기본 사항, 9장 - DNS에 대한 Windows 지원의 단일 레이블 이름 확인, 정규화되지 않은 Do기본 이름 섹션을 참조하세요.

이 위험의 원인은 무엇인가요?
악의적인 사용자는 조직의 경계 외부에 단일 레이블 이름을 가진 시스템을 호스트할 수 있으며 DNS 진화로 인해 Windows DNS 클라이언트가 조직 경계 내부인 것처럼 성공적으로 연결할 수 있습니다. 예를 들어 엔터프라이즈의 DNS 접미사가 corp.contoso.co.us "Single-Label"이라는 정규화되지 않은 호스트 이름을 확인하려는 경우 DNS 확인자는 Single-Label.corp.contoso.co.us 시도합니다. 이를 찾을 수 없는 경우 DNS 진화를 통해 Single-label.contoso.co.us 해결하려고 시도합니다. 찾을 수 없으면 contoso.co.us 외부에 있는 Single-label.co.us 해결하려고 시도합니다기본.

쿼리가 조직 경계를 벗어나는 데 어떤 영향을 미치나요?
의미는 조직 경계를 이스케이프하는 쿼리에 따라 달라집니다.

모든 쿼리는 내부 IP 주소를 노출합니다. 네트워크 클라이언트는 악성 서버와 자격 증명을 교환할 수 있습니다. WPAD 서버에 대한 쿼리인 경우 클라이언트 머신에서 악의적인 프록시를 설정할 수 있습니다.

이 업데이트는 내 현재 DNS 진화 동작을 변경하나요?
예. 업데이트는 Windows 클라이언트의 기본 작업을 확인할 검사 있으며 DNS 쿼리를 해당 작업 내에서 제한합니다기본. DNS 진화 동작의 변경에 대한 자세한 내용과 예제는 Microsoft 기술 자료 문서 957579 참조하세요.

이 업데이트를 설치한 후 사용자 환경이 변경되었나요?
예. 업데이트가 설치되면 DNS 확인자는 Windows 클라이언트의 do기본 설정에 따라 수준으로만 진화를 수행하여 이 동작을 사용하는 모든 애플리케이션 또는 구성을 손상시킬 수 있습니다. DNS 진화 동작 의 변경에 대한 자세한 내용은 Microsoft 기술 자료 문서 957579 참조하세요.

비보안 업데이트에 대한 보안 권고입니다. 모순이 아닌가요?
보안 권고는 보안 공지가 필요하지 않을 수 있지만 여전히 고객의 전반적인 보안에 영향을 줄 수 있는 보안 변경 사항을 해결합니다. 보안 권고는 Microsoft가 취약성으로 분류되지 않고 보안 공지가 필요하지 않을 수 있는 문제 또는 보안 공지가 릴리스되지 않은 문제에 대해 고객에게 보안 관련 정보를 전달하는 방법입니다. 이 경우 보안 업데이트를 포함하여 후속 업데이트를 수행하는 기능에 영향을 주는 업데이트의 가용성을 전달합니다. 따라서 이 권고는 특정 보안 취약성을 해결하지 않습니다. 오히려 전반적인 보안을 해결합니다.

이 업데이트는 어떻게 제공합니까?
이러한 업데이트는 Microsoft 다운로드 센터에서 사용할 수 있습니다. 영향을 받는 특정 소프트웨어에 대한 업데이트에 대한 직접 링크는 [개요] 섹션의 영향을 받는 소프트웨어 테이블에 나열되어 있습니다. 업데이트 및 동작 변경에 대한 자세한 내용은 Microsoft 기술 자료 문서 957579 참조하세요.

이 업데이트는 자동 업데이트에 분산되어 있나요?
아니요. 이러한 업데이트는 자동 업데이트 메커니즘을 통해 배포되지 않습니다. 업데이트는 Microsoft 다운로드 센터에서만 사용할 수 있습니다. 영향을 받는 특정 소프트웨어에 대한 업데이트에 대한 직접 링크는 [개요] 섹션의 영향을 받는 소프트웨어 테이블에 나열되어 있습니다.

보안 게시판에 발표되는 보안 업데이트가 아닌 이유는 무엇인가요?
이는 구성 문제입니다. DNS 진화는 의도한 대로 작동하며 일부 고객은 조직 경계에서 합법적으로 자산에 도달하여 내부 자산으로 취급하기 위해 DNS 진화에 의존할 수 있습니다.

이 업데이트가 보안 권고에서 제공되는 이유는 무엇인가요?
고객은 환경의 Windows 클라이언트가 진화를 사용하고 있다는 사실을 알지 못할 수 있습니다. 진화를 통해 클라이언트는 경계에서 시스템을 내부 자산으로 처리할 수 있으므로 자격 증명을 포기하거나 정보 공개 유형 취약성에 노출할 수 있습니다.

제안된 작업

해결 방법

Microsoft는 다음 해결 방법을 테스트했습니다. 이러한 해결 방법은 기본 위험을 수정하지 않지만 알려진 공격 벡터를 차단하는 데 도움이 됩니다. 해결 방법으로 기능이 감소하면 다음 섹션에서 식별됩니다.

DNS Devolution 사용 안 함

자동 DNS 배포를 사용하지 않도록 설정하려면 다음을 .와 함께 파일에 저장합니다. 확장명을 REG한 다음 관리자 권한 또는 관리 명령 프롬프트에서 regedit.exe /s <파일 이름을> 실행합니다.

참고: UseDo기본NameDevolution 레지스트리 값에 대한 자세한 내용은 TechNet 문서 UseDo기본NameDevolution을 참조하세요.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000

변경 내용을 적용하려면 DNS 클라이언트 서비스를 중지하고 다시 시작해야 합니다. 이 작업은 다음 명령을 사용하여 관리자 권한 또는 관리 명령 프롬프트에서 수행할 수 있습니다.

net stop dnscache & net start dnscache

해결 방법의 영향: DNS 확인자는 진화를 수행하지 않으므로 이 동작을 사용하는 애플리케이션 또는 구성이 손상될 수 있습니다. 자체적인 형태의 진화를 수행하는 애플리케이션은 이 설정의 영향을 받지 않습니다.

Do기본 접미사 검색 목록 구성

do기본 접미사 검색 목록을 만들려면 다음을 파일에 저장합니다. 확장명을 REG한 다음 관리자 권한 또는 관리 명령 프롬프트에서 regedit.exe /s <파일 이름을> 실행합니다.

Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific="specific" search="search" list="list">

참고 Windows Server 2003에는 그룹 정책을 통해 do기본 접미사 검색 목록을 배포하는 기능이 포함되어 있습니다. 자세한 내용은 DNS 접미사 검색 목록 섹션의 Microsoft 기술 자료 294785 참조하세요.

해결 방법의 영향: 클라이언트 시스템에서 할 일기본 접미사 검색 목록이 구성된 경우 해당 접미사 목록만 DNS 쿼리에서 사용됩니다. 기본 DNS 접미사와 연결 관련 DNS 접미사는 사용되지 않습니다. DNS 확인자는 진화를 수행하지 않으므로 이 동작을 사용하는 애플리케이션 또는 구성이 손상될 수 있습니다.

기타 정보

리소스:

  • 다음 웹 사이트를 방문하여 양식을 작성하여 피드백을 제공할 수 있습니다.
  • 미국 및 캐나다의 고객은 보안 지원에서 기술 지원을 받을 수 있습니다. 사용 가능한 지원 옵션에 대한 자세한 내용은 Microsoft 도움말 및 지원 웹 사이트를 참조 하세요.
  • 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. Microsoft에 국제 지원 문제를 문의하는 방법에 대한 자세한 내용은 국제 지원 웹 사이트를 방문 하세요.
  • Microsoft TechNet Security 웹 사이트는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

고지 사항:

이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.

개정:

  • V1.0(2009년 6월 9일): 공지 게시됨.

2014-04-18T13:49:36Z-07:00에 빌드