Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 971888

Update für DNS-Devolution

Veröffentlicht: Dienstag, 9. Juni 2009

Version: 1.0

Hiermit kündigt Microsoft die Verfügbarkeit eines Updates für DNS-Devolution an, das Benutzer dabei unterstützt, ihr System zu schützen. Benutzer, deren Domänenname drei oder mehr Bezeichnungen enthält, z. B. „contoso.co.us“, oder für die keine DNS-Suffixliste konfiguriert ist, oder für die die folgenden schadensbegrenzenden Faktoren nicht gelten, ermöglichen Clientsystemen u. U. unabsichtlich, Systeme außerhalb der Grenze der Organisation so zu behandeln, als ob sie sich innerhalb der Grenze der Organisation befinden.

Schadensbegrenzende Faktoren:

  • Für Benutzer, die mit einer Domäne verknüpft sind und auf deren System eine DNS-Suffixsuchliste konfiguriert ist, besteht nicht die Gefahr, externe Systeme unabsichtlich als interne Systeme zu betrachten. Microsoft ermutigt alle Unternehmenskunden, auf Clientsystemen DNS-Suffixsuchlisten einzurichten, um sicherzustellen, dass alle DNS-Abfragen innerhalb der Grenzen der Organisation bleiben.
  • In den meisten Fällen verwenden private Benutzer, die nicht Mitglied einer Domäne sind, DNS-Devolution nicht und sind deshalb nicht durch diese Sicherheitsanfälligkeit gefährdet. Private Benutzer jedoch, die nicht Mitglied einer Domäne sind, aber ein primäres DNS-Suffix konfiguriert haben, verwenden DNS-Devolution, und sind dadurch gefährdet, externe Systeme unabsichtlich als interne Systeme zu betrachten.
  • Benutzer, deren DNS-Domänenname aus zwei Bezeichnungen besteht, sind nicht von dieser Sicherheitsanfälligkeit betroffen. Ein Beispiel für einen Benutzer, der nicht betroffen ist, wäre „contoso.com“ oder „fabrikam.gov“, wobei „contoso“ und „fabrikam“ benutzerregistrierte Domänennamen unter ihren jeweiligen „.com“- und „.gov“-TLDs sind.

Allgemeine Informationen

Zweck dieser Sicherheitsempfehlung: Zur Erläuterung und zur Benachrichtigung über die Verfügbarkeit eines nicht sicherheitsrelevanten Updates, das Benutzer dabei unterstützt, ihr System zu schützen.

Status der Empfehlung: Microsoft Knowledge Base-Artikel und die zugehörigen Updates wurden veröffentlicht.

Empfehlung: Lesen Sie den angegebenen Knowledge Base-Artikel und installieren Sie das entsprechende Update.

ReferenzenIdentifizierung
Microsoft Knowledge Base-Artikel 957579

Diese Empfehlung betrifft die folgende Software.

Betroffene Software
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 und Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 mit SP2 für Itanium-basierte Systeme
Windows Vista, Windows Vista Service Pack 1 und Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 und Windows Vista x64 Edition Service Pack 2
Windows Server 2008 für 32-Bit-Systeme und Windows Server 2008 für 32-Bit-Systeme Service Pack 2
Windows Server 2008 für x64-basierte Systeme und Windows Server 2008 für x64-basierte Systeme Service Pack 2
Windows Server 2008 für Itanium-basierte Systeme und Windows Server 2008 für Itanium-basierte Systeme Service Pack 2

Was genau umfasst diese Empfehlung?
Mit dieser Empfehlung wird darüber benachrichtigt, dass Updates verfügbar sind, mit deren Hilfe eine organisatorische Grenze für Systeme definiert werden kann, die mit einer Domäne verknüpft sind, für die aber keine DNS-Suffixliste konfiguriert ist. Updates sind für die Software verfügbar, die im Abschnitt Übersicht aufgeführt ist.

Was ist eine Domäne höchster Ebene (TLD)?
Die Domäne höchster Ebene (TLD) ist der letzte Teil eines Internetdomänennamens. Dies sind die Buchstaben, die hinter dem letzten Punkt jedes Domänennamens stehen. In dem Domänennamen „wpad.western.corp.contoso.co.us“ ist die TLD z. B. „.us“. TLDs können primär in zwei Typen unterteilt werden: Ländercode-TLDs und generische TLDs. Ländercode-TLDs sind zweibuchstabige Abkürzungen für die einzelnen Länder. In diesem Beispiel steht .us für USA. Bei generischen TLDs handelt es sich um die bekannten Abkürzungen aus drei (oder mehr) Buchstaben wie .com, .net, .org usw. Eine vollständige Liste aller verfügbaren TLDs finden Sie in der folgenden Liste unter IANA.

Was ist ein Primäres DNS-Suffix (PDS)?
Dies ist der Domänenname, der rechts an den Hostnamen des Computers mit einzelner Bezeichnung angefügt wird. Ein vollqualifizierter Domänenname (FQDN) kann als <Hostname>.<primäres DNS-Suffix> definiert werden. Standardmäßig ist das primäre DNS-Suffix des FQDN eines Computers mit dem Namen der Active Directory-Domäne identisch, mit der der Computer verknüpft ist. Das PDS eines Computers jedoch kann sich von der DNS-Domäne unterscheiden, mit der es verknüpft wird, wenn es in Arbeitsplatz über das Dialogfeld „Eigenschaft“ konfiguriert wird.

Was ist eine Domäne zweiter Ebene (SLD)?
Eine Domäne zweiter Ebene (SLD) ist eine Domäne, die sich direkt „unterhalb“ oder links vom TLD befindet. Im vorherigen Beispiel „wpad.western.corp.contoso.co.us“ ist die SLD „.co“. Die gängigste Registrierung von SLDs ist unterhalb von Ländercode-TLDs. In den USA wird die SLD hauptsächlich für die US-Bundesstaatenregistrierung verwendet, z. B. „.co.us“ für den Bundesstaat Colorado. In nicht von den USA verwendeten SLDs werden häufig gängige TLD-Namen wie „.com.sg“ wiederverwendet.

Was bewirkt die Funktion DNS-Devolution?
Devolution ist eine Windows DNS-Client Funktion. Devolution ist der Prozess, durch den Windows DNS-Clients DNS-Abfragen für unqualifizierte Hostnamen mit einzelner Bezeichnung auflösen. Abfragen werden konstruiert, indem das PDS dem Hostnamen angefügt wird. Die Abfrage wird wiederholt, indem systematisch die Bezeichnung ganz links im PDS so lange entfernt wird, bis der Hostname + das verbleibende PDS aufgelöst werden oder nur noch zwei Bezeichnungen im freigelegten PDS übrig sind. Windows-Clients z. B., die in der Domäne „western.corp.contoso.co.us“ nach „Single-label“ (einzelne Bezeichnung) suchen, fragen nacheinander „Single-label.western.corp.contoso.co.us“, „Single-label.corp.contoso.co.us“, „Single-label.contoso.co.us“ und dann „Single-label.co.us“ ab, bis ein System gefunden wird, das aufgelöst werden kann. Dieser Prozess wird als Devolution bezeichnet. Weitere Informationen zum DNS-Clientdienst und zur Devolution finden Sie im Abschnitt Namensauflösung für unqualifizierte Domänennamen mit einzelner Bezeichnung im TechNet-Artikel, TCP/IP-Grundlagen für Microsoft Windows, Kapitel 9 – Windows-Unterstützung für DNS.

Wodurch wird diese Sicherheitsanfälligkeit verursacht?
Ein böswilliger Benutzer kann ein System mit einer einzelnen Bezeichnung außerhalb der Grenze einer Organisation hosten und aufgrund der DNS-Devolution einen Windows DNS-Client erfolgreich dazu veranlassen, eine Verbindung zu dem anderen System herzustellen, als ob er sich innerhalb der Grenze der Organisation befände. Wenn das DNS-Suffix eines Unternehmens z. B. „corp.contoso.co.us“ lautet und ein Versuch unternommen wird, einen unqualifizierten Hostnamen von „Single-Label“ aufzulösen, versucht die DNS-Auflösung es mit „Single-Label.corp.contoso.co.us“. Wird diese nicht gefunden, wird über DNS-Devolution versucht, „Single-label.contoso.co.us“ aufzulösen. Wird dies nicht gefunden, wird versucht, „Single-label.co.us“ aufzulösen, das sich außerhalb der Domäne „contoso.co.us“ befindet.

Was bedeutet das für die Abfragen, die über die Grenze der Organisation hinausgehen?
Die Folgen sind unterschiedlich. Das ist abhängig von der Abfrage, die die Organisationsgrenze überschreitet.

Bei allen Abfragen würden die internen IP-Adressen offen gelegt. Netzwerkclients tauschen u. U. Anmeldeinformationen mit dem schädlichen Server aus. Falls die Abfrage an einen WPAD-Server geht, kann in den Clientcomputern ein schädlicher Proxy eingerichtet sein.

Wird das aktuelle Verhalten meiner DNS-Devolution durch dieses Update geändert?
Ja. Mit dem Update wird die Domäne des Windows-Clients überprüft, und DNS-Abfragen werden auf diese Domäne begrenzt. Weitere Informationen und Beispiele für die Änderung am Verhalten von DNS-Devolution finden Sie im Microsoft Knowledge Base-Artikel 957579.

Wird durch die Installation dieses Updates die Benutzerfreundlichkeit verändert?
Ja. Nachdem das Update installiert ist, führt die DNS-Auflösung die Devolution nur bis zu einer Ebene durch, die auf den Domäneneinstellungen des Windows-Clients basiert. Dabei werden möglicherweise Anwendungen oder Konfigurationen unterbrochen, die von diesem Verhalten abhängen. Weitere Informationen für die Änderung am Verhalten von DNS-Devolution finden Sie im Microsoft Knowledge Base-Artikel 957579.

Dies ist eine Sicherheitsempfehlung bezüglich eines nicht sicherheitsrelevanten Sicherheitsupdates. Ist das nicht ein Widerspruch?
Sicherheitsempfehlungen behandeln Sicherheitsänderungen, die nicht unbedingt ein Security Bulletin erfordern, die sich aber dennoch auf die Gesamtsicherheit von Benutzern auswirken können. Sicherheitsempfehlungen sind eine Möglichkeit für Microsoft, Benutzern sicherheitsbezogene Informationen zu Problemen mitzuteilen, die nicht als Sicherheitsanfälligkeiten klassifiziert werden können und nicht unbedingt ein Security Bulletin erfordern, oder zu Problemen, für die kein Security Bulletin veröffentlicht worden ist. In dem vorliegenden Fall teilen wir die Verfügbarkeit eines Updates mit, das Ihre Fähigkeit betrifft, nachfolgende Updates einschließlich Sicherheitsupdates durchzuführen. Daher behandelt diese Empfehlung keine bestimmte Sicherheitsanfälligkeit sondern vielmehr Ihre Gesamtsicherheit.

Wie wird dieses Update angeboten?
Diese Sicherheitsupdates sind im Microsoft Download Center verfügbar. Direkte Verknüpfungen zu den Updates für bestimmte betroffene Software sind in der Tabelle "Betroffene Software" im Abschnitt Übersicht aufgeführt. Weitere Informationen zum Update und den Verhaltensänderungen finden Sie im Microsoft Knowledge Base-Artikel 957579.

Wird dieses Sicherheitsupdate im Rahmen von Automatische Updates angeboten?
Nein. Diese Updates werden nicht über Automatische Updates angeboten. Diese Sicherheitsupdates sind nur im Microsoft Download Center verfügbar. Direkte Verknüpfungen zu den Updates für bestimmte betroffene Software sind in der Tabelle "Betroffene Software" im Abschnitt Übersicht aufgeführt.

Weshalb ist dies kein Sicherheitsupdate, das in einem Security Bulletin angekündigt wird?
Dies ist ein Konfigurationsproblem. Die DNS-Devolution funktioniert wie vorgesehen, und u. U. sind einige Benutzer von DNS-Devolution abhängig, um legitim auf Ressourcen außerhalb der Grenzen ihrer Organisation zuzugreifen und diese wie interne Ressourcen zu behandeln.

Warum wird dieses Update in einer Sicherheitsempfehlung angeboten?
Benutzer wissen u. U. nicht, dass Windows-Clients in ihrer Umgebung Devolution verwenden. Die Devolution könnte Clients ermöglichen, Systeme außerhalb ihrer Grenze als interne Ressourcen zu betrachten, sodass sie Anmeldeinformationen preisgeben oder sich selbst für Sicherheitsanfälligkeiten bezüglich der Offenlegung von Informationen anfällig machen könnten.

Problemumgehungen

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegenden Sicherheitsanfälligkeiten, sondern blockieren nur die bekannten Angriffsmethoden. Wenn eine Problemumgehung die Funktionalität verringert, wird diese Einschränkung im folgenden Abschnitt genannt.

Deaktivieren Sie die DNS-Devolution

Um die automatische DNS-Devolution zu deaktivieren, speichern Sie Folgendes in einer Datei mit der Erweiterung .REG, und führen Sie anschließend an einer erhöhten oder administrativen Eingabeaufforderung den Befehl „regedit.exe /s <Dateiname>“ aus:

Hinweis: Weitere Informationen zum Registrierungswert „UseDomainNameDevolution“ finden Sie im TechNet-Artikel UseDomainNameDevolution.

Windows Registrierungs-Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]
"UseDomainNameDevolution"=dword:00000000

Damit die Änderungen wirksam werden, muss der DNS-Clientdienst beendet und neu gestartet werden. Dies kann mit dem folgenden Befehl an einer erhöhten oder administrativen Eingabeaufforderung erreicht werden:

net stop dnscache & net start dnscache

Auswirkung der Problemumgehung: Die DNS-Auflösung führt keine Devolution durch, die möglicherweise Anwendungen oder Konfigurationen unterbricht, die von diesem Verhalten abhängen. Anwendungen, die ihre eigene Devolution durchführen, sind von dieser Einstellung nicht betroffen.

Konfigurieren Sie eine Domänensuffixsuchliste

Um eine Domänensuffixsuchliste zu erstellen, speichern Sie Folgendes in einer Datei mit der Erweiterung .REG, und führen Sie anschließend an einer erhöhten oder administrativen Eingabeaufforderung den Befehl „regedit.exe /s <Dateiname> aus“:

Windows Registrierungs-Editor Version 5.00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"SearchList"=<domänenspezifische Suchliste>

Hinweis: Windows Server 2003 beinhaltet die Möglichkeit, die Domänensuffixsuchliste über die Gruppenrichtlinie zu verteilen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 294785 im Abschnitt Suchliste für DNS-Suffix.

Auswirkung der Problemumgehung: Wenn auf Clientsystemen eine Domänensuffixsuchliste konfiguriert ist, wird bei DNS-Abfragen nur diese Suffixliste verwendet. Das primäre DNS-Suffix und jegliche weiteren verbindungsspezifischen DNS-Suffixe werden nicht verwendet. Die DNS-Auflösung führt keine Devolution durch, die möglicherweise Anwendungen oder Konfigurationen unterbricht, die von diesem Verhalten abhängen.

Weitere Informationen:

Ressourcen:

  • Sie können uns über das Formular auf folgender Website Ihr Feedback zukommen lassen.
  • Technischer Support ist in den USA und Kanada über die Microsoft Support Services erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
  • Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf internationale Supportfragen kontaktieren können, finden Sie auf der International Support-Website.
  • Die Website TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.

Haftungsausschluss:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

  • V1.0 (9. Juni 2009): Die Empfehlung wurde veröffentlicht.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft