安全性諮詢
Microsoft Security Advisory 971888
DNS Devolution 的更新
發佈時間: 2009 年 6 月 9 日
版本: 1.0
Microsoft 宣佈更新 DNS 權力下放,可協助客戶保護其系統。 功能變數名稱有三個以上的標籤,例如「contoso.co.us」,或未設定 DNS 後綴清單的客戶,或下列緩和因素不適用的客戶,可能會不小心允許客戶端系統將組織界限以外的系統視為組織界限內部。
緩和因素:
- 已加入網域且在其系統上設定 DNS 後綴搜尋清單的客戶,不會不小心將外部系統視為內部。 Microsoft 鼓勵所有企業客戶在用戶端系統上設定 DNS 後綴搜尋清單,以確保所有 DNS 查詢都保持在組織界限內。
- 在大部分情況下,不屬於網域成員的家庭使用者不會使用 DNS 權力下放,因此不會面臨此風險。 但主使用者不是網域的成員,但已設定主要 DNS 後綴,但確實使用 DNS 下放,並有可能不小心將外部系統視為內部系統。
- DNS 功能變數名稱包含兩個標籤的客戶不會暴露在此風險中。 受影響的客戶範例是 contoso.com 或 fabrikam.gov,其中 “contoso” 和 “fabrikam” 是客戶在其各自的 “.com” 和 “.gov” 最上層網域 (TLD) 下註冊的功能變數名稱。
一般資訊
概觀
諮詢目的: 提供非安全性更新可用性的釐清和通知,可協助客戶保護其系統。
諮詢狀態: Microsoft 知識庫文章和相關聯的更新已發行。
建議: 檢閱參考的知識庫並套用適當的更新。
| 參考資料 | 識別 |
|---|---|
| Microsoft 知識庫文章 | 957579 |
此諮詢會討論下列軟體。
常見問題集
諮詢的範圍為何?
此諮詢會提供更新的通知,可協助為已加入網域但未設定 DNS 後綴清單的系統定義組織界限。 更新 適用於所列的軟體概觀區段。
什麼是最上層網域 (TLD)?
最上層網域 (TLD) 是因特網功能變數名稱的最後一部分。 這些是任何域名最後點後面的字母。 例如,在功能變數名稱 wpad.western.corp.contoso.co.us 中,TLD 是 “.us”。 TLD 主要可以分成兩種類型:國家/地區代碼和泛型。 國家/地區代碼 TLD 是每個國家/地區的兩個字母縮寫。 在此範例中,.us 適用於 美國。 一般 TLD 是較傳統的可辨識三個字母縮寫,例如.com、.net、.org 等。如需所有可用 TLD 的完整清單,請參閱 IANA 上的下列清單。
什麼是主要 DNS 後綴 (PDS)?
這是附加至電腦單一標籤主機名右邊的功能變數名稱。 完整功能變數名稱 (FQDN) 可以定義為 <主機名>。<主要 DNS 後綴>。 根據預設,計算機 FQDN 的主要 DNS 後綴部分與加入電腦的 Active Directory 網域名稱相同。 不過,計算機的 PDS 可能與透過 [我的計算機] 的 [屬性] 對話框設定時所加入的 DNS 網域不同。
什麼是第二層網域 (SLD)?
第二層網域 (SLD) 是直接位於 「下方」或 TLD 左邊的網域。 在上一個範例中,wpad.western.corp.contoso.co.us,SLD 為 “.co”。 最常見的SLD註冊位於國家/地區代碼 TLD 之下。 美國 主要使用 SLD 進行美國州註冊,例如科羅拉多州的 “.co.us”。 非 US SLD 通常會重複使用常見的 TLD 名稱,例如 「.com.sg」。。
DNS 權力下放功能有何用途?
Devolution 是 Windows DNS 用戶端功能。 Devolution 是 Windows DNS 用戶端解析單一標籤未限定主機名之 DNS 查詢的程式。 查詢是藉由將 PDS 附加至主機名來建構。 系統會以系統方式移除 PDS 中最左邊的標籤,以重試查詢,直到主機名 + 剩餘的 PDS 解析,或只有兩個標籤保留在已移除的 PDS 中。 例如,在 western.corp.contoso.co.us 網域中尋找「單一標籤」的 Windows 用戶端會逐漸查詢 Single-label.western.corp.contoso.co.us、Single-label.corp.contoso.co.us、Single-label.contoso.co.us,然後 Single-label.co.us,直到找到可解析的系統為止。 此程序稱為權力下放。 如需 DNS 用戶端服務和權力下放的其他資訊,請參閱 TechNet 一文中適用於單一卷標、未限定功能變數名稱解析 一節、 適用於 Windows 的 TCP/IP 基本概念、第 9 章 - 適用於 DNS 的 Windows 支援。
造成此風險的原因為何?
惡意使用者可能會在組織界限之外裝載具有單一標籤名稱的系統,而且由於 DNS 下放可能會成功讓 Windows DNS 用戶端連線到它,就好像它是組織界限內部一樣。 例如,如果企業的 DNS 後綴是 corp.contoso.co.us 且嘗試解析 「單一卷標」的未限定主機名,則 DNS 解析程式會嘗試 Single-Label.corp.contoso.co.us。 如果找不到,它會嘗試透過 DNS 下放來解決 Single-label.contoso.co.us。 如果找不到,它會嘗試解析 Single-label.co.us,其位於 contoso.co.us 網域之外。
對超出組織界限的查詢有何影響?
影響會根據逸出組織界限的查詢而有所不同。
所有查詢都會公開內部IP位址。 網路用戶端可能會與惡意伺服器交換認證。 如果查詢適用於 WPAD 伺服器,可能會在用戶端電腦中設定惡意 Proxy。
此更新是否變更我目前的 DNS 權力下放行為?
是。 更新會檢查 Windows 用戶端的網域為何,並將 DNS 查詢限制在該網域內。 如需 DNS 權力下放行為變更的詳細資訊和範例,請參閱 Microsoft 知識庫文章957579。
安裝此更新之後,用戶體驗是否有變更?
是。 安裝更新之後,DNS 解析程式只會根據 Windows 用戶端的網域設定執行下放至層級,可能會中斷任何依賴此行為的應用程式或組態。 如需 DNS 權力下放行為變更的詳細資訊,請參閱 Microsoft 知識庫文章957579。
這是非安全性更新的安全性諮詢。 那不是矛盾嗎?
安全性諮詢可解決安全性變更,這些變更可能不需要安全性公告,但仍可能會影響客戶的整體安全性。 安全性諮詢是 Microsoft 向客戶傳達安全性相關信息的一種方式,這些問題可能未分類為弱點,且可能不需要安全性布告欄,或未發行任何安全性布告欄的問題。 在此情況下,我們會傳達會影響您執行後續更新之能力之更新的可用性,包括安全性更新。 因此,此諮詢不會解決特定的安全性弱點;相反地,它會解決您的整體安全性。
如何提供此更新?
這些更新可在 Microsoft 下載中心取得。 特定受影響軟體更新的直接連結列在 [概觀] 區段中的 [受影響的軟體] 數據表中。 如需更新和行為變更的詳細資訊,請參閱 Microsoft 知識庫文章957579。
此更新是否在自動更新上發佈?
否。 這些更新不會透過自動更新機制散發。 更新僅適用於 Microsoft 下載中心。 特定受影響軟體更新的直接連結列在 [概觀] 區段中的 [受影響的軟體] 數據表中。
為什麼這不是在安全性公告中宣佈的安全性更新?
這是設定問題。 DNS 權力下放會如預期般運作,有些客戶可能會依賴 DNS 下放,合法地從其組織界限連線資產,並將其視為內部資產。
為何在安全性諮詢中提供此更新?
客戶可能不知道其環境中的 Windows 用戶端正在使用權力下放。 權力下放可讓客戶端將系統從界限外視為內部資產,因此可能會放棄認證,或自行公開資訊洩漏類型弱點。
建議的動作
因應措施
Microsoft 已測試下列因應措施。 雖然這些因應措施不會更正基礎風險,但它們有助於封鎖已知的攻擊媒介。 當因應措施減少功能時,會在下一節中加以識別。
停用 DNS Devolution
若要停用自動 DNS 權力下放,請將下列內容儲存至具有 的檔案。REG 擴充功能,然後從提升許可權或系統管理命令提示字元執行 regedit.exe /s <檔名> :
注意 如需UseDomainNameDevolution 登錄值的詳細資訊,請參閱TechNet文章 UseDomainNameDevolution。
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000
若要讓變更生效,必須停止並重新啟動 DNS 用戶端服務。 這可以從提升權限或系統管理命令提示字元,使用下列命令來完成:
net stop dnscache & net start dnscache
因應措施的影響: DNS 解析程式不會執行權力下放,可能會中斷任何依賴此行為的應用程式或組態。 執行自己形式權力下放的應用程式不會受到此設定的影響。
設定網域後綴搜尋清單
若要建立網域後綴搜尋清單,請將下列內容儲存至具有的檔案。REG 擴充功能,然後從提升許可權或系統管理命令提示字元執行 regedit.exe /s <檔名> :
Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific="specific" search="search" list="list">
注意 Windows Server 2003 包含透過組策略散發網域後綴搜尋清單的功能。 如需詳細資訊,請參閱 DNS 後綴搜尋清單一節中的 Microsoft 知識庫294785。
因應措施的影響: 在客戶端系統上設定網域後綴搜尋清單時,DNS 查詢中只會使用該後綴清單。 不會使用主要 DNS 後綴和任何連線特定的 DNS 後綴。 DNS 解析程式不會執行權力下放,可能會中斷任何依賴此行為的應用程式或組態。
其他資訊
資源:
- 您可以流覽下列 網站,藉由完成表單來提供意見反應。
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需可用支援選項的詳細資訊,請參閱 Microsoft 說明及支持網站。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需如何連絡 Microsoft 以取得國際支持問題的詳細資訊,請瀏覽 國際支持網站。
- Microsoft TechNet Security 網站提供 Microsoft 產品中安全性的其他資訊。
免責聲明:
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
變更:
- V1.0 (2009 年 6 月 9 日):已發佈諮詢。
建置於 2014-04-18T13:49:36Z-07:00