• Článek

Poradce pro zabezpečení

Poradce microsoftu pro zabezpečení 971888

Aktualizace pro devolution DNS

Publikováno: 9. června 2009

Verze: 1.0

Společnost Microsoft oznamuje dostupnost aktualizace dns devolution, která může zákazníkům pomoct udržet své systémy chráněné. Zákazníci, jejichž název domény má tři nebo více popisků, například "contoso.co.us", nebo kteří nemají nakonfigurovaný seznam přípon DNS nebo u kterých se následující faktory omezení rizik nevztahují, mohou neúmyslně umožnit klientským systémům zacházet s systémy mimo hranici organizace, jako by byly interní pro hranice organizace.

Zmírňující faktory:

  • Zákazníci, kteří jsou připojení k doméně a mají v systému nakonfigurovaný seznam hledání přípon DNS, nejsou ohroženi neúmyslným zacházením s externími systémy, jako by byli interní. Microsoft doporučuje všem podnikovým zákazníkům nastavit seznamy hledání přípon DNS v klientských systémech, aby zajistili, že všechny dotazy DNS zůstanou v rámci hranic organizace.
  • Ve většině případů domácí uživatelé, kteří nejsou členy domény, nepoužívají devolution DNS, a proto nejsou vystaveni tomuto riziku. Domácí uživatelé, kteří nejsou členy domény, ale nakonfigurovali primární příponu DNS, ale používají devolution DNS a jsou ohroženi neúmyslným zacházením s externími systémy, jako by byli interní.
  • Zákazníci, jejichž název domény DNS se skládá ze dvou popisků, nejsou k tomuto riziku vystaveni. Příkladem zákazníka, kterého to neovlivní, je contoso.com nebo fabrikam.gov, kde "contoso" a "fabrikam" jsou názvy domén registrovaných zákazníkem v příslušných doménách ".com" a ".gov" nejvyšší úrovně (TLD).

Obecné informace

Přehled

Účel rady: Poskytnutí objasnění a oznámení o dostupnosti aktualizace nesouvisecí se zabezpečením, která může zákazníkům pomoct udržet jejich systémy chráněné.

Stav poradce: Článek znalostní báze Microsoft Knowledge Base a přidružené aktualizace byly vydány.

Doporučení: Zkontrolujte odkazovanou znalostní bázi a nainstalujte příslušné aktualizace.

Reference Identifikace
Článek znalostní báze Microsoft Knowledge Base 957579

Tento poradce popisuje následující software.

Ovlivněný software
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 a Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 s aktualizací SP2 pro počítače s procesorem Itanium
Windows Vista, Windows Vista Service Pack 1 a Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 a Windows Vista x64 Edition Service Pack 2
Windows Server 2008 pro 32bitové systémy a Windows Server 2008 pro 32bitové systémy Service Pack 2
Windows Server 2008 pro systémy x64 a Windows Server 2008 pro systémy x64 Service Pack 2
Windows Server 2008 pro počítače s procesorem Itanium a Windows Server 2008 pro počítače s procesorem Itanium Service Pack 2

Nejčastější dotazy

Jaký je rozsah poradenství?
Toto poradenství poskytuje oznámení, že jsou k dispozici aktualizace, které pomáhají definovat hranici organizace pro systémy, které jsou připojené k doméně, ale nemají nakonfigurovaný seznam přípon DNS. Aktualizace jsou k dispozici pro software, který je uveden v Oddíl přehledu

Co je doména nejvyšší úrovně (TLD)?
Doména nejvyšší úrovně (TLD) je poslední částí názvu internetové domény. Jedná se o písmena, která následují za posledním tečkou názvu domény. Například v názvu domény wpad.western.corp.contoso.co.us je TLD ".us". Tld lze primárně rozdělit do dvou typů: kód země a obecný. TLD kódu země jsou zkratky dvou písmen pro každou zemi. V tomto příkladu je .us pro USA. Obecné TLD jsou tradičně rozpoznatelné tři (nebo větší) zkratky písmen, jako jsou .com, .net, .org atd. Úplný seznam všech dostupných TLD najdete v následujícím seznamu na adrese IANA.

Co je primární přípona DNS (PDS)?
Toto je název domény připojený napravo od názvu hostitele s jedním popiskem počítače. Plně kvalifikovaný název domény (FQDN) je možné definovat jako <název> hostitele.<primární přípona> DNS. Ve výchozím nastavení je část primární přípony DNS plně kvalifikovaného názvu domény počítače stejná jako název domény služby Active Directory, ke které je počítač připojený. PdS počítače se ale může lišit od domény DNS, ke které je připojena při konfiguraci pomocí dialogového okna Vlastnosti z mého počítače.

Co je doména druhé úrovně (SLD)?
Doména druhé úrovně (SLD) je doména, která se nachází přímo níže nebo vlevo od TLD. V předchozím příkladu wpad.western.corp.contoso.co.us je SLD ".co". Nejběžnější registrace identifikátorů SLA je pod sadou TLD kódu země. USA primárně používá SLD pro registraci států USA, jako je například .co.us, pro stát Colorado. Disky SSD mimo USA často opakovaně používají běžné názvy TLD, jako je například .com.sg.

Co dělá funkce devolution DNS?
Devolution je funkce klienta DNS systému Windows. Devolution je proces, pomocí kterého klienti DNS systému Windows přeloží dotazy DNS na nekvalifikované názvy hostitelů s jedním popiskem. Dotazy se vytvářejí připojením PDS k názvu hostitele. Dotaz se opakuje tak, že se systematicky odebere levý popisek v souboru PDS, dokud se nepřeloží název hostitele + zbývající pdS, nebo zůstanou v odstraněných pds pouze dva popisky. Například klienti Windows, kteří hledají v doméně western.corp.contoso.co.us "Single-label", budou postupně dotazovat Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us a pak Single-label.co.us, dokud nenajde systém, který se vyřeší. Tento proces se označuje jako devolution. Další informace o klientské službě DNS a devolution naleznete v části Překlad názvů pro jednoúčelový název, nekvalifikovaný název domény v článku TechNet, základy PROTOKOLU TCP/IP pro Windows, kapitola 9 – Podpora Systému Windows.

Co způsobuje toto riziko?
Uživatel se zlými úmysly může hostovat systém s názvem s jedním popiskem mimo hranice organizace a kvůli devoluci DNS může úspěšně získat klienta DNS systému Windows, aby se k němu mohl připojit, jako by byl interní s hranicí organizace. Pokud je například přípona DNS podniku corp.contoso.co.us a pokusí se přeložit nekvalifikovaný název hostitele "Single-Label", překladač DNS se pokusí Single-Label.corp.contoso.co.us. Pokud se tento problém nenajde, zkusí se to prostřednictvím devolution DNS přeložit Single-label.contoso.co.us. Pokud se tento problém nenajde, pokusí se přeložit Single-label.co.us, který je mimo doménu contoso.co.us.

Jaké jsou důsledky pro dotazy směřující mimo hranici organizace?
Důsledky se liší v závislosti na tom, jak dotaz uvozuje hranice organizace.

Všechny dotazy zpřístupňují interní IP adresy. Síťová klienti si můžou vyměňovat přihlašovací údaje se škodlivým serverem. V případě, že se dotaz týká serveru WPAD, může být na klientských počítačích nastavený škodlivý proxy server.

Změní tato aktualizace moje aktuální chování devoluce DNS?
Ano. Aktualizace zkontroluje, co je doména klienta Systému Windows a omezuje dotazy DNS na v rámci této domény. Další informace a příklady změny chování devolution DNS naleznete v článku znalostní báze Microsoft Knowledge Base 957579.

Došlo po instalaci této aktualizace ke změně uživatelského prostředí?
Ano. Po instalaci aktualizace bude překladač DNS provádět pouze úroveň na základě nastavení domény klienta Systému Windows, což může způsobovat narušení všech aplikací nebo konfigurací, které na toto chování spoléhají. Další informace o změně chování devolution DNS naleznete v článku znalostní báze Microsoft Knowledge Base 957579.

Toto je poradce pro zabezpečení týkající se aktualizace nesouvisecí se zabezpečením. Není to rozpor?
Informační zpravodaje zabezpečení řeší změny zabezpečení, které nemusí vyžadovat bulletin zabezpečení, ale mohou mít vliv na celkové zabezpečení zákazníka. Informační zpravodaje zabezpečení představují způsob, jak společnosti Microsoft sdělit informace související se zabezpečením zákazníkům o problémech, které nemusí být klasifikovány jako ohrožení zabezpečení a nemusí vyžadovat bulletin zabezpečení nebo problémy, pro které nebyl vydán žádný bulletin zabezpečení. V tomto případě komunikujeme s dostupností aktualizace, která ovlivňuje vaši schopnost provádět následné aktualizace, včetně aktualizací zabezpečení. Proto tento poradce neřeší konkrétní ohrožení zabezpečení; řeší vaše celkové zabezpečení.

Jak se tato aktualizace nabízí?
Tyto aktualizace jsou k dispozici na webu Stažení softwaru společnosti Microsoft. Přímé odkazy na aktualizace konkrétního ovlivněného softwaru jsou uvedeny v tabulce Ovlivněný software v části Přehled . Další informace o aktualizaci a změnách chování naleznete v článku znalostní báze Microsoft Knowledge Base 957579.

Distribuuje se tato aktualizace při automatické aktualizaci?
Ne. Tyto aktualizace nejsou distribuovány prostřednictvím mechanismu automatické aktualizace. Aktualizace jsou k dispozici pouze z webu Stažení softwaru společnosti Microsoft. Přímé odkazy na aktualizace konkrétního ovlivněného softwaru jsou uvedeny v tabulce Ovlivněný software v části Přehled .

Proč se nejedná o aktualizaci zabezpečení, která je oznámena v bulletinu zabezpečení?
Jedná se o problém s konfigurací. Devolution DNS funguje podle očekávání a někteří zákazníci můžou záviset na devoluci DNS, aby legitimním způsobem dosáhli prostředků mimo hranici organizace a mohli s nimi zacházet jako s interními prostředky.

Proč se tato aktualizace nabízí v poradci pro zabezpečení?
Zákazníci nemusí vědět, že klienti Windows ve svém prostředí používají vývoj. Devolution může klientům umožnit, aby zacházeli se systémy mimo jejich hranice jako s interními prostředky, a proto se pravděpodobně vzdávají přihlašovacích údajů nebo zpřístupňují ohrožení zabezpečení typu zpřístupnění informací.

Navrhované akce

Alternativní řešení

Microsoft otestoval následující alternativní řešení. I když tato alternativní řešení neopraví základní riziko, pomáhají blokovat známé vektory útoku. Pokud alternativní řešení snižuje funkčnost, je popsáno v následující části.

Zakázání devolution DNS

Chcete-li zakázat automatické deoluce DNS, uložte následující soubor do souboru s příponou . Rozšíření REG a spuštění souboru> regedit.exe /s <z příkazového řádku se zvýšenými oprávněními nebo příkazovým řádkem pro správu:

Poznámka : Další informace o hodnotě registru UseDomainNameDevolution naleznete v článku TechNet UseDomainNameDevolution.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000

Aby se změny projevily, musí být klientská služba DNS zastavená a znovu spuštěna. To lze provést z příkazového řádku se zvýšenými oprávněními nebo příkazem pro správu pomocí následujícího příkazu:

net stop dnscache & net start dnscache

Dopad alternativního řešení: Překladač DNS nebude provádět odchylku, potenciálně způsobující chybu aplikací nebo konfigurací, které se na toto chování spoléhají. Toto nastavení nemá vliv na aplikace, které provádějí vlastní formu devoluce.

Konfigurace seznamu hledání přípon domény

Chcete-li vytvořit seznam hledání přípon domény, uložte následující soubor do souboru s příponou . Rozšíření REG a spuštění souboru> regedit.exe /s <z příkazového řádku se zvýšenými oprávněními nebo příkazovým řádkem pro správu:

Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific="specific" search="search" list="list">

Poznámka: Windows Server 2003 obsahuje možnost distribuovat seznam hledání přípon domény prostřednictvím zásad skupiny. Další informace naleznete v tématu Znalostní báze Microsoft Knowledge Base 294785 v části Seznam hledání přípon DNS.

Dopad alternativního řešení: Pokud je seznam hledání přípon domény nakonfigurovaný v klientských systémech, použije se pouze tento seznam přípon v dotazech DNS. Primární přípona DNS a všechny přípony DNS specifické pro připojení se nepoužívají. Překladač DNS nebude provádět odchylku, potenciálně způsobující chybu aplikací nebo konfigurací, které se na toto chování spoléhají.

Další informace

Zdroje:

  • Svůj názor můžete poskytnout vyplněním formuláře na následujícím webu.
  • Zákazníci v USA a Kanadě můžou získat technickou podporu od podpory zabezpečení. Další informace o dostupných možnostech podpory naleznete na webu Nápověda a podpora společnosti Microsoft.
  • Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace o tom, jak kontaktovat Společnost Microsoft o problémech s mezinárodní podporou, naleznete na webu mezinárodní podpory.
  • Web Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Společnosti Microsoft.

Právní omezení:

Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.

Revize:

  • V1.0 (9. června 2009): Poradce publikováno.

Postaveno v 2014-04-18T13:49:36Z-07:00