项目
03/14/2024

安全公告

Microsoft 安全咨询971888

DNS 开发更新

发布时间： 2009 年 6 月 9 日

版本： 1.0

Microsoft 宣布推出 DNS 权力下放更新，可帮助客户保护其系统。域名具有三个或多个标签（如“contoso.co.us”）或未配置 DNS 后缀列表的客户，或者以下缓解因素不适用的客户可能会无意中允许客户端系统将组织边界之外的系统视为组织边界内部。

缓解因素：

加入域并在其系统上配置的 DNS 后缀搜索列表的客户不会无意中将外部系统视为内部系统。 Microsoft 鼓励所有企业客户在客户端系统上设置 DNS 后缀搜索列表，以确保所有 DNS 查询都保留在组织边界内。
在大多数情况下，不是域成员的家庭用户不使用 DNS 权力下放，因此不会面临此风险。家庭用户不是域的成员，但已配置主 DNS 后缀，但确实使用 DNS 权力下放，并且有无意中将外部系统视为内部系统的风险。
DNS 域名包含两个标签的客户不会面临此风险。受影响的客户示例是 contoso.com 或 fabrikam.gov，其中“contoso”和“fabrikam”是客户在其各自的“.com”和“.gov”顶级域（TLD）下注册的域名。

常规信息

概述

咨询目的： 提供有关非安全更新可用性的澄清和通知，可帮助客户保护其系统。

公告状态： 已发布 Microsoft 知识库文章和相关更新。

建议： 查看引用的知识库并应用相应的更新。

参考	标识
Microsoft 知识库文章	957579

此公告讨论以下软件。

受影响的软件
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 和 Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP2 for Itanium 基于系统的 SP2
Windows Vista、Windows Vista Service Pack 1 和 Windows Vista Service Pack 2
Windows Vista x64 版本、Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2
适用于 32 位系统的 Windows Server 2008 和 32 位系统 Service Pack 2 的 Windows Server 2008
基于 x64 的系统的 Windows Server 2008 和基于 x64 的系统 Service Pack 2 的 Windows Server 2008
适用于基于 Itanium 的系统的 Windows Server 2008 和基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008

常见问题

公告的范围是什么？
此公告提供通知，这些更新有助于为已加入域但未配置 DNS 后缀列表的系统定义组织边界。汇报适用于在 <汇报中列出的软件概述部分。

什么是顶级域（TLD）？
顶级域（TLD）是 Internet 域名的最后一部分。这些是任何域名的最后点后面的字母。例如，在域名 wpad.western.corp.contoso.co.us 中，TLD 为“.us”。 TLD 主要分为两种类型：国家/地区代码和泛型。国家/地区代码 TLD 是每个国家/地区的两个字母缩写。在此示例中，.us 用于美国。泛型 TLD 是传统可识别的三个（或更高）字母缩写，如 .com、.net、.org 等。有关所有可用 TLD 的完整列表，请参阅 IANA 上的以下列表。

什么是主 DNS 后缀（PDS）？
这是追加到计算机单标签主机名右侧的域名。完全限定的域名（FQDN）可以定义为 <主机名>。<主 DNS 后缀>。默认情况下，计算机 FQDN 的主 DNS 后缀部分与加入计算机的 Active Directory 域的名称相同。但是，计算机的 PDS 可能与通过“我的计算机的属性”对话框配置的 DNS 域不同。

什么是二级域（SLD）？
第二级域（SLD）是直接位于“下方”或 TLD 左侧的域。在前面的示例中，wpad.western.corp.contoso.co.us，SLD 为“.co”。 SLD 最常见的注册是在国家/地区代码 TLD 下。例如，美国主要使用 SLD 进行美国州注册，例如“.co.us”。非美国 SLA 通常重复使用常见的 TLD 名称，例如“.com.sg”。

DNS 权力下放功能的作用是什么？
权力下放是 Windows DNS 客户端功能。权力下放是 Windows DNS 客户端解析单标签非限定主机名的 DNS 查询的过程。通过将 PDS 追加到主机名来构造查询。通过系统地删除 PDS 中的最左侧标签来重试查询，直到主机名 + 剩余的 PDS 解析或仅两个标签保留在剥离的 PDS 中。例如，在 western.corp.contoso.co.us 域中查找“单一标签”的 Windows 客户端会逐渐查询 Single-label.western.corp.contoso.co.us、Single-label.corp.contoso.co.us、Single-label.contoso.co.us，然后 Single-label.co.us，直到找到可解析的系统。此过程称为权力下放。有关 DNS 客户端服务和权力下放的其他信息，请参阅 TechNet 文章中的“单标签、未限定域名 的名称解析”部分、适用于 Windows 的 TCP/IP 基础知识、第 9 章 - 对 DNS 的 Windows 支持。

导致此风险的原因是什么？
恶意用户可以在组织边界之外托管具有单标签名称的系统，并且由于 DNS 权力下放，可能会成功让 Windows DNS 客户端连接到它，就像它是组织边界内部一样。例如，如果企业的 DNS 后缀 corp.contoso.co.us 并且尝试解析“单标签”的未限定主机名，则 DNS 解析程序将尝试 Single-Label.corp.contoso.co.us。如果未找到，它将尝试通过 DNS 权力下放来解决 Single-label.contoso.co.us。如果未找到，它将尝试解析 Single-label.co.us，该 contoso.co.us 域之外。

对超出组织边界的查询有何影响？
影响因组织边界转义的查询而异。

所有查询都会公开内部 IP 地址。网络客户端可能会与恶意服务器交换凭据。如果查询适用于 WPAD 服务器，可以在客户端计算机中设置恶意代理。

此更新是否更改了当前 DNS 权力下放行为？
是的。更新检查查看 Windows 客户端的域，并将 DNS 查询限制在该域中。有关 DNS 权力下放行为更改的详细信息和示例，请参阅 Microsoft 知识库文章957579。

安装此更新后用户体验是否有变化？
是的。安装更新后，DNS 解析程序将仅根据 Windows 客户端的域设置执行到级别，可能会中断依赖于此行为的任何应用程序或配置。有关 DNS 权力下放行为更改的详细信息，请参阅 Microsoft 知识库文章957579。

这是有关非安全更新的安全公告。这不是矛盾吗？
安全公告解决了可能不需要安全公告的安全更改，但仍可能会影响客户的整体安全性。安全公告是 Microsoft 向客户传达安全相关信息的一种方法，说明可能未归类为漏洞的问题，可能不需要安全公告，或者没有发布安全公告的问题。在这种情况下，我们将传达影响你执行后续更新（包括安全更新）的更新的可用性。因此，此公告不会解决特定的安全漏洞;相反，它解决了整体安全性问题。

如何提供此更新？
Microsoft 下载中心提供这些更新。指向特定受影响软件更新的直接链接列在“概述”部分的“受影响的软件”表中。有关更新和行为更改的详细信息，请参阅 Microsoft 知识库文章957579。

此更新是否在自动更新上分发？
否。这些更新不会通过自动更新机制分发。更新仅适用于 Microsoft 下载中心。指向特定受影响软件更新的直接链接列在“概述”部分的“受影响的软件”表中。

为什么这不是安全公告中宣布的安全更新？
这是配置问题。 DNS 权力下放按预期工作，一些客户可能依赖于 DNS 权力下放，合法地将资产从其组织边界外联系，并将它们视为内部资产。

为什么在安全公告中提供此更新？
客户可能不知道其环境中的 Windows 客户端正在使用权力下放。权力下放可能允许客户端将系统从边界外视为内部资产，因此它们可能会放弃凭据，或自行公开信息泄露类型漏洞。

建议的操作

解决方法

Microsoft 已测试以下解决方法。尽管这些解决方法不会纠正基础风险，但它们有助于阻止已知的攻击途径。当解决方法减少功能时，将在以下部分中标识它。

禁用 DNS Devolution

若要禁用自动 DNS 权力下放，请将以下内容保存到具有的文件。REG 扩展，然后从提升的或管理命令提示符运行 regedit.exe /s <文件名> ：

有关 UseDomainNameDevolution 注册表值的详细信息，请参阅 TechNet 文章 UseDomainNameDevolution。

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000

若要使更改生效，必须停止并重新启动 DNS 客户端服务。可以使用以下命令从提升的或管理命令提示符完成此操作：

net stop dnscache & net start dnscache

解决方法的影响： DNS 解析程序不会执行权力下放，可能会破坏依赖于此行为的任何应用程序或配置。执行其自己的权力下放形式的应用程序不受此设置的影响。

配置域后缀搜索列表

若要创建域后缀搜索列表，请将以下内容保存到包含 a.REG 扩展，然后从提升的或管理命令提示符运行 regedit.exe /s <文件名> ：

Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific="specific" search="search" list="list">

请注意 ，Windows Server 2003 包括通过组策略分发域后缀搜索列表的功能。有关详细信息，请参阅 DNS 后缀搜索列表部分中的 Microsoft 知识库294785。

解决方法的影响： 在客户端系统上配置域后缀搜索列表时，仅在 DNS 查询中使用该后缀列表。不使用主 DNS 后缀和任何特定于连接的 DNS 后缀。 DNS 解析程序不会执行权力下放，可能会破坏依赖于此行为的任何应用程序或配置。

其他信息

资源：

可以通过访问以下网站完成表单来提供反馈。
美国和加拿大的客户可以从安全支持部门获得技术支持。有关可用支持选项的详细信息，请参阅 Microsoft 帮助和支持网站。
国际客户可以从其本地 Microsoft 子公司获得支持。有关如何联系 Microsoft 以获取国际支持问题的详细信息，请访问国际支持网站。
Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明：

此公告中提供的信息“按原样”提供，没有任何担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修改：

V1.0（2009 年 6 月 9 日）：已发布公告。

生成于 2014-04-18T13：49：36Z-07：00