• Makale

Güvenlik Danışmanlığı

Microsoft Güvenlik Danışmanlığı 971888

DNS Geliştirme Güncelleştirmesi

Yayımlanma Tarihi: 09 Haziran 2009

Sürüm: 1.0

Microsoft, müşterilerin sistemlerini korumalarına yardımcı olabilecek BIR DNS geliştirme güncelleştirmesinin kullanılabilir olduğunu duyuruyor. Etki alanı adında "contoso.co.us" gibi üç veya daha fazla etiket bulunan veya yapılandırılmış bir DNS soneki listesi olmayan veya aşağıdaki hafifletici faktörlerin uygulanmadığı müşteriler, istemci sistemlerinin kuruluş sınırının dışında kalan sistemleri kuruluş sınırının içindeymiş gibi ele almalarına istemeden izin verebilir.

Azaltıcı Faktörler:

  • Bir etki alanına katılmış ve sistemlerinde yapılandırılmış bir DNS soneki arama listesi olan müşteriler, yanlışlıkla dış sistemleri dahiliymiş gibi ele alma riskiyle karşı karşıya değildir. Microsoft, tüm kurumsal müşterilerin tüm DNS sorgularının kuruluş sınırları içinde kalmasını sağlamak için istemci sistemlerinde DNS soneki arama listeleri ayarlamaya teşvik eder.
  • Çoğu durumda, bir etki alanının üyesi olmayan ev kullanıcıları DNS geliştirme kullanmaz ve bu nedenle bu riske maruz kalmazlar. Ancak, bir etki alanının üyesi olmayan ancak birincil DNS soneki yapılandırmış olan ev kullanıcıları, DNS geliştirmeyi kullanır ve yanlışlıkla dış sistemlere dahiliymiş gibi davranma riskiyle karşı karşıyadır.
  • DNS etki alanı adı iki etiket içeren müşteriler bu riske maruz kalmaz. Etkilenmeyen bir müşteriye örnek olarak contoso.com veya fabrikam.gov gösteriliyor. Burada "contoso" ve "fabrikam" ilgili ".com" ve ".gov" üst düzey etki alanları (TBD) altında müşteri tarafından kayıtlı etki alanı adlarıdır.

Genel Bilgiler

Genel bakış

Danışmanlık Amacı: Müşterilerin sistemlerini korumalarına yardımcı olabilecek güvenlikle ilgili olmayan bir güncelleştirmenin kullanılabilirliği hakkında netleştirme ve bildirim sağlamak.

Danışmanlık Durumu: Microsoft Bilgi Bankası makalesi ve ilişkili güncelleştirmeler yayımlandı.

Öneri: Başvuruda bulunılan Bilgi Bankası'nı gözden geçirin ve uygun güncelleştirmeleri uygulayın.

Başvurular Kimlik
Microsoft Bilgi Bankası Makalesi 957579

Bu danışmanlıkta aşağıdaki yazılımlar ele alınmaktadır.

Etkilenen Yazılım
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 ve Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Itanium Tabanlı Sistemler için Windows Server 2003 SP2
Windows Vista, Windows Vista Service Pack 1 ve Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 ve Windows Vista x64 Edition Service Pack 2
32 bit Sistemler için Windows Server 2008 ve 32 bit Sistemler için Windows Server 2008 Service Pack 2
x64 Tabanlı Sistemler için Windows Server 2008 ve x64 Tabanlı Sistemler için Windows Server 2008 Service Pack 2
Itanium Tabanlı Sistemler için Windows Server 2008 ve Itanium Tabanlı Sistemler için Windows Server 2008 Service Pack 2

Sık Sorulan Sorular

Danışmanlığın kapsamı nedir?
Bu öneri, etki alanına katılmış ancak dns soneki listesi yapılandırılmamış sistemler için bir kuruluş sınırı tanımlamaya yardımcı olan güncelleştirmelerin sağlandığını belirten bir bildirim sağlar. GüncelleştirmelerGenel bakış bölümü.

Üst düzey etki alanı (TLD) nedir?
Üst düzey etki alanı (TLD), İnternet etki alanı adının son bölümüdür. Bunlar, herhangi bir etki alanı adının son noktayı izleyen harflerdir. Örneğin, wpad.western.corp.contoso.co.us etki alanı adında TLD ".us" şeklindedir. TD'ler öncelikli olarak iki türe ayrılabilir: ülke kodu ve genel. Ülke kodu TD'leri her ülke için iki harfli kısaltmadır. Bu örnekte .us Birleşik Devletler içindir. Genel TD'ler, .com, .net, .org vb. gibi geleneksel olarak tanınabilen üç (veya daha büyük) harf kısaltmalarıdır. Tüm kullanılabilir TD'lerin tam listesi için IANA'da aşağıdaki listeye bakın.

Birincil DNS Son Eki (PDS) nedir?
Bu, bilgisayarın tek etiketli ana bilgisayar adının sağındaki etki alanı adıdır. Tam etki alanı adı (FQDN), konak adı> olarak <tanımlanabilir.<birincil DNS son eki>. Varsayılan olarak, bir bilgisayarın FQDN'sinin birincil DNS soneki bölümü, bilgisayarın katıldığı Active Directory etki alanının adıyla aynıdır. Ancak, bilgisayarın PDS'si Bilgisayarım'dan Özellikler iletişim kutusu aracılığıyla yapılandırıldığında katıldığı DNS etki alanından farklı olabilir.

İkinci düzey etki alanı (SLD) nedir?
İkinci düzey etki alanı (SLD), TLD'nin doğrudan "altında" veya solunda bulunan bir etki alanıdır. Önceki örnekte wpad.western.corp.contoso.co.us, SLD ".co" şeklindedir. SSD'lerin en yaygın kaydı ülke kodu TD'leri altındadır. Birleşik Devletler, örneğin Colorado eyaleti için ".co.us" gibi ABD eyalet kaydı için SLD'yi öncelikli olarak kullanır. ABD dışı SSD'ler genellikle ".com.sg" gibi yaygın TLD adlarını yeniden kullanıyor.

DNS geliştirme özelliği ne yapar?
Devolution bir Windows DNS istemci özelliğidir. Geliştirme, Windows DNS istemcilerinin tek etiketli nitelenmemiş ana bilgisayar adları için DNS sorgularını çözümlediği işlemdir. Sorgular, ana bilgisayar adına PDS eklenerek oluşturulur. Konak adı + kalan PDS çözümlenene veya kaldırılan PDS'de yalnızca iki etiket kalana kadar PDS'de en soldaki etiket sistematik olarak kaldırılarak sorgu yeniden denenür. Örneğin, western.corp.contoso.co.us etki alanında "Tek etiketli" sözcüğü arayan Windows istemcileri Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us aşamalı olarak sorgular ve çözümleyen bir sistem bulana kadar Single-label.co.us. Bu işlem, sapma olarak adlandırılır. DNS istemci hizmeti ve geliştirme hakkında ek bilgi için TechNet makalesinin Tek Etiketli, Nitelenmemiş Etki Alanı Adları için Ad Çözümlemesi bölümüne bakın. Windows için TCP/IP TemelLeri, Bölüm 9 - DNS için Windows Desteği.

Bu riskin nedeni nedir?
Kötü amaçlı bir kullanıcı, bir kuruluşun sınırının dışında tek etiketli bir ada sahip bir sistem barındırabilir ve DNS'nin çözülmesi nedeniyle, kuruluş sınırının içindeymiş gibi bir Windows DNS istemcisinin başarıyla bağlanmasına neden olabilir. Örneğin, bir kuruluşun DNS soneki corp.contoso.co.us ve "Tek Etiketli" nitelenmemiş bir ana bilgisayar adını çözümlemeye çalışılırsa, DNS çözümleyicisi Single-Label.corp.contoso.co.us dener. Bu bulunamazsa, Single-label.contoso.co.us çözmek için DNS geliştirme yoluyla dener. Bu bulunamazsa, contoso.co.us etki alanının dışındaki Single-label.co.us çözmeye çalışır.

Kuruluş sınırının dışına giden sorguların etkileri nelerdir?
Bunun etkileri, kuruluş sınırından kaçan sorguya bağlı olarak değişir.

Tüm sorgular iç IP adreslerini kullanıma sunar. Ağ istemcileri kimlik bilgilerini kötü amaçlı sunucuyla değiştirebilir. Sorgu bir WPAD sunucusuna yönelikse istemci makinelerinde kötü amaçlı ara sunucu ayarlanabilir.

Bu güncelleştirme geçerli DNS sapma davranışımı değiştirir mi?
Evet. Güncelleştirme, Windows istemcisinin etki alanının ne olduğunu denetler ve DNS sorgularını bu etki alanı içinde ile sınırlar. DNS geliştirme davranışındaki değişiklik hakkında daha fazla bilgi ve örnek için 957579 Microsoft Bilgi Bankası makalesine bakın.

Bu güncelleştirme yüklendikten sonra kullanıcı deneyiminde bir değişiklik var mı?
Evet. Güncelleştirme yüklendikten sonra, DNS çözümleyicisi yalnızca Windows istemcisinin etki alanı ayarlarına göre bir düzeye sapma gerçekleştirir ve bu davranışa dayanan tüm uygulamaları veya yapılandırmaları bozacaktır. DNS geliştirme davranışındaki değişiklik hakkında daha fazla bilgi için 957579 Microsoft Bilgi Bankası makalesine bakın.

Bu, güvenlikle ilgili olmayan bir güncelleştirmeyle ilgili bir güvenlik önerisidir. Bu bir çelişki değil mi?
Güvenlik önerileri, güvenlik bülteni gerektirmeyen ancak müşterinin genel güvenliğini etkilemeye devam eden güvenlik değişikliklerini ele alır. Güvenlik danışmanları, Microsoft'un güvenlik açığı olarak sınıflandırılmayan ve güvenlik bülteni gerektirmeyen veya hiçbir güvenlik bülteninin yayımlanmadığı sorunlar hakkında müşterilere güvenlikle ilgili bilgileri iletmesi için bir yoldur. Bu durumda, güvenlik güncelleştirmeleri de dahil olmak üzere sonraki güncelleştirmeleri gerçekleştirme becerinizi etkileyen bir güncelleştirmenin kullanılabilirliğini iletiyoruz. Bu nedenle, bu öneri belirli bir güvenlik açığını gidermez; bunun yerine, genel güvenliğinizi ele alır.

Bu güncelleştirme nasıl sunulur?
Bu güncelleştirmeler Microsoft İndirme Merkezi'nden edinilebilir. Etkilenen belirli yazılımlar için güncelleştirmelere doğrudan bağlantılar, Genel Bakış bölümündeki Etkilenen Yazılım tablosunda listelenir. Güncelleştirme ve davranış değişiklikleri hakkında daha fazla bilgi için 957579 Microsoft Bilgi Bankası makalesine bakın.

Bu güncelleştirme Otomatik Güncelleştirme'de dağıtılmış mı?
Hayır Bu güncelleştirmeler Otomatik Güncelleştirme mekanizması üzerinden dağıtılmaz. Güncelleştirmeler yalnızca Microsoft İndirme Merkezi'nden kullanılabilir. Etkilenen belirli yazılımlar için güncelleştirmelere doğrudan bağlantılar, Genel Bakış bölümündeki Etkilenen Yazılım tablosunda listelenir.

Bu neden bir güvenlik bülteninde duyurulan bir güvenlik güncelleştirmesi değil?
Bu bir yapılandırma sorunudur. DNS tasfiyesi amaçlandığı gibi çalışır ve bazı müşteriler, varlıklara kuruluş sınırları dışında meşru bir şekilde ulaşmak ve bunları iç varlıklar olarak ele almak için DNS geliştirmesine bağımlı olabilir.

Bu güncelleştirme neden bir güvenlik danışmanlığında sunulmaktadır?
Müşteriler, ortamlarındaki Windows istemcilerinin devolution kullandığını bilmiyor olabilir. Geliştirme, istemcilerin sistemleri kendi sınırları dışında iç varlıklar olarak ele almalarına olanak tanıyabilir ve bu nedenle kimlik bilgilerinden vazgeçmeleri veya bilgilerin açığa çıkma türü güvenlik açıklarına maruz kalmaları olasıdır.

Önerilen Eylemler

Geçici Çözümler

Microsoft aşağıdaki geçici çözümleri test etti. Bu geçici çözümler temel alınan riski düzeltmese de bilinen saldırı vektörlerinin engellenmesine yardımcı olur. Geçici bir çözüm işlevselliği azalttığında, aşağıdaki bölümde tanımlanır.

DNS Geliştirmeyi Devre Dışı Bırak

Otomatik DNS geliştirmesini devre dışı bırakmak için, aşağıdakini ile bir dosyaya kaydedin. REG uzantısını ve ardından yükseltilmiş veya yönetim komut isteminden regedit.exe /s <dosya adını> çalıştırın:

Not UseDomainNameDevolution kayıt defteri değeri hakkında daha fazla bilgi için UseDomainNameDevolution TechNet makalesine bakın.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000

Değişikliklerin etkili olması için DNS istemci hizmetinin durdurulması ve yeniden başlatılması gerekir. Bu, aşağıdaki komutu kullanarak yükseltilmiş veya yönetici komut isteminden gerçekleştirilebilir:

net stop dnscache & net start dnscache

Geçici Çözümün Etkisi: DNS çözümleyicisi, bu davranışa dayanan tüm uygulamaları veya yapılandırmaları bozan bir çözümleyici gerçekleştirmez. Kendi sapma biçimlerini gerçekleştiren uygulamalar bu ayardan etkilenmez.

Etki Alanı Son Eki Arama Listesi Yapılandırma

Etki alanı son eki arama listesi oluşturmak için, aşağıdakini içeren bir dosyaya kaydedin. REG uzantısını ve ardından yükseltilmiş veya yönetim komut isteminden regedit.exe /s <dosya adını> çalıştırın:

Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific="specific" search="search" list="list">

Not Windows Server 2003, Grup İlkesi aracılığıyla etki alanı soneki arama listesini dağıtma özelliğini içerir. Daha fazla bilgi için DNS Soneki Arama Listesi bölümündeki Microsoft Bilgi Bankası 294785 bölümüne bakın.

Geçici Çözümün Etkisi: İstemci sistemlerinde bir etki alanı soneki arama listesi yapılandırıldığında, DNS sorgularında yalnızca bu sonek listesi kullanılır. Birincil DNS soneki ve bağlantıya özgü DNS sonekleri kullanılmaz. DNS çözümleyicisi, bu davranışa dayanan uygulamaları veya yapılandırmaları bozan bir çözümleyici gerçekleştirmez.

Diğer Bilgiler

Kaynaklar:

  • Aşağıdaki Web sitesini ziyaret ederek formu tamamlayarak geri bildirim sağlayabilirsiniz.
  • Birleşik Devletler ve Kanada'daki müşteriler Güvenlik Desteği'nden teknik destek alabilir. Kullanılabilir destek seçenekleri hakkında daha fazla bilgi için Microsoft Yardım ve Destek Web sitesine bakın.
  • Uluslararası müşteriler, yerel Microsoft yan kuruluşlarından destek alabilir. Uluslararası destek sorunları için Microsoft'a başvurma hakkında daha fazla bilgi için Uluslararası Destek Web sitesini ziyaret edin.
  • Microsoft TechNet Security Web sitesi, Microsoft ürünlerindeki güvenlik hakkında ek bilgiler sağlar.

Bildirim:

Bu danışmanlıkta sağlanan bilgiler herhangi bir garanti olmadan "olduğu gibi" sağlanır. Microsoft, satılabilirlik ve belirli bir amaca uygunluk garantileri dahil olmak üzere açık veya zımni tüm garantileri reddeder. Microsoft Corporation veya tedarikçilerine bu tür zararlar olabileceği bildirilmiş olsa bile, doğrudan, dolaylı, arızi, neticede iş kârı kaybı veya özel zararlar dahil olmak üzere hiçbir durumda Microsoft Corporation veya tedarikçileri herhangi bir zarardan sorumlu tutulamaz. Bazı eyaletler, ortaya çıkabilecek veya arızi zararlar için sorumluluğun hariç tutulmasına veya sınırlandırılmasına izin vermez, bu nedenle söz konusu sınırlama geçerli olmayabilir.

Düzeltme:

  • V1.0 (9 Haziran 2009): Danışmanlık yayımlandı.

2014-04-18T13:49:36Z-07:00'da oluşturuldu