Microsoft biztonsági tanácsadó 971888

Frissítés a DNS-csonkolás témaköréhez

Közzétéve: 2009. június 9.

Verzió: 1.0

A Microsoft felhívja a figyelmet, hogy a felhasználók rendszereinek védelmét segítő frissítés érhető el a DNS-csonkítás funkcióhoz. Azon ügyfelek, akik három vagy többrészes tartománynévvel rendelkeznek (pl. contoso.co.us) illetve akiknél nincs beállítva a DNS-utótagok listája, illetve akikre nem vonatkoznak a következő, a hibát enyhítő tényezők, akaratlanul lehetővé tehetik, hogy az ügyfélrendszerek a szervezeten belüliként kezeljék az azon kívülálló rendszereket.

A hibát enyhítő tényezők:

  • Azon, tartományhoz tartozó ügyfeleket, akiknek a rendszerén be van állítva a DNS-utótagok keresési listája, nem érinti a kockázat, hogy véletlenül belsőként kezelnék a külső rendszereket. A Microsoft minden vállalati ügyfélnek javasolja a DNS-utótagok keresési listájának beállítását az ügyfélrendszereken, hogy a DNS-kérelmek biztosan a szervezet határain belül működjenek.
  • Az otthoni felhasználókat, akik nem tartoznak tartományhoz és nem használják a DNS-csonkítás funkciót, többnyire nem érinti a kockázat. Azok a tartományhoz nem tartozó otthoni felhasználók azonban, akik beállítottak elsődleges DNS-utótagot, használják a DNS-csonkítás funkciót, ezért érinti őket a kockázat, hogy véletlenül belsőként kezelik a külső rendszereket.
  • A kétrészes DNS tartománynévvel rendelkező ügyfeleket nem érinti a kockázat. Példa nem érintett ügyfélre: contoso.com vagy fabrikam.gov, ahol a „contoso” és a „fabrikam” ügyfél által regisztrált tartománynév a megfelelő „.com” és„.gov” felső szintű tartomány (TLD) alatt.

Általános tudnivalók

Mire terjed ki a tanácsadó hatása?
A tanácsadó jelzi, hogy elérhető frissítések segítik a szervezeti határok kijelölését az olyan, tartományhoz csatlakozó rendszereken, ahol nincs beállítva DNS-utótaglista. Frissítések az Áttekintés részben felsorolt szoftverekhez elérhetők.

Mi a legfelső szintű tartomány (TLD)?
A legfelső szintű tartomány (TLD) az internetes tartománynév utolsó része. Ezek a betűk állnak a tartománynév utolsó pontja mögött. Például a wpad.western.corp.contoso.co.us tartománynévben a „.us” a TLD elem. A TLD-k két alaptípusra oszthatók: országkódos és általános. Az országkódos TLD minden ország esetén egy két betűből álló rövidítés. Az iménti példában a .us az Amerikai Egyesült Államokat jelenti. Az általános TLD-k a hagyományosan leginkább felismerhető három (vagy több) betűből álló rövidítések, például .com, .net, .org stb. A lehetséges TLD-k teljes listájához lásd a következő listát az IANA szervezetnél.

Mi az elsődleges DNS-utótag (PDS)?
Ez a számítógép egytagú állomásnevétől jobbra eső tartománynév. A teljesen minősített tartománynév (FQDN) felépítése <állomásnév>.<elsődleges DNS-utótag>. Az FQDN jellemző elsődleges DNS-utótag része azonos az Active Directory tartomány nevével, amelyhez a számítógép csatlakozik. A számítógép PDS jellemzője azonban eltérhet a DNS-tartománytól, amit a Sajátgép hely Tulajdonságok párbeszédpanelén társítottak hozzá.

Mi a másodlagos szintű tartomány (SLD)?
A másodlagos szintű tartomány (SLD) az a tartomány, ami közvetlenül a TLD „alatt” vagy attól balra található. Visszatérve az előző példához: a wpad.western.corp.contoso.co.us tartomány esetén a „.co” az SLD elem. A leggyakrabban regisztrált SLD az országkódos TLD alatti SLD. Az Amerikai Egyesült Államokban elsősorban az államok rövidítése az SLD, például a „.co.us” tartománynévben a „.co” Coloradót jelenti. Az Amerikai Egyesült Államokon kívül az SLD céljára gyakran ismert TLD neveket használnak, például „.com.sg”.

Hogy működik a DNS-csonkolás funkció?
A csonkolás a Windows DNS-ügyfél funkciója. A csonkolás az a folyamat, melynek során a Windows DNS-ügyfelek feloldják az egytagú, nem minősített állomásnevekre vonatkozó DNS-kérelmeket. A kérelmek összeállításához a rendszer PDS elemet rendel az állomásnévhez. A kérelem feldolgozása során a rendszer lépésről lépésre eltávolítja a PDS elem legbaloldalibb elemét, amíg az állomásnév + egy PDS elem vagy két elem marad a csonkolt PDS-ből. Ha a Windows-ügyfelek például a „Single-label” elemet keresik a western.corp.contoso.co.us tartományban, a rendszer sorban rákeres a Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us és Single-label.co.us elemre, amíg meg nem találja, amit keres. Ezt hívják csonkolásnak. A DNS-ügyfélszolgáltatás és a csonkolás részleteit lásd a Névfeloldás egy címke esetén, Nem minősített tartománynevek részben, a TCP/IP alapok a Microsoft Windows rendszerhez, 9. fejezet - Windows-támogatás a DNS funkcióhoz c. TechNet cikkben.

Mi áll a kockázat hátterében?
A rosszindulatú támadó egytagú névvel ellátott rendszert tarthat fenn a szervezet határain kívül, és a DNS-csonkoláson keresztül sikeresen ráveheti a Windows DNS-ügyfelet, hogy rácsatlakozzon, mintha csak a szervezeten belül működne. Ha egy vállalat DNS-utótagja például corp.contoso.co.us, és a Single-Label nem minősített állomásnév feloldása a cél, a DNS-csonkoló a Single-Label.corp.contoso.co.us változattal próbálkozik. Ha nem találja, DNS-csonkolással megpróbálja feloldani a Single-label.contoso.co.us elemet. Ha ez sem sikerül, megpróbálja feloldani a Single-label.co.us elemet, amely kívül esik a contoso.co.us tartományon.

Mi a következménye, ha a kérelmek kilépnek a szervezet határain túlra?
A következmények súlyossága attól függ, hogy milyen kérelem lépi túl a szervezet határait.

Minden kérelem felfedheti a belső IP-címeket. A hálózati ügyfelek azonosító adatokat cserélhetnek a rosszindulatú kiszolgálóval. Ha a kérelem WPAD-kiszolgálóra vonatkozott, a támadó rosszindulatú proxyt állíthat be az ügyfélgépeken.

A frissítés módosítja a DNS-csonkolás jelenlegi működését?
Igen. A frissítés ellenőrzi a Windows-ügyfél tartományát és arra korlátozza a DNS-kérelmek érvényét. A DNS-csonkolás működési változásainak részletes leírását és az erre vonatkozó példákat lásd a Microsoft Tudásbázis 957579. cikkében.

A frissítés telepítését követően érzékelhető a felhasználók számára a változás?
Igen. A frissítés telepítését követően a DNS feloldó csak a Windows-ügyfél tartomány-beállításain alapuló szintig végzi el a csonkolást. Ez a funkció működésére támaszkodó alkalmazások illetve konfigurációk leállását okozhatja. A DNS-csonkolás működésének változásait részletesen lásd a Microsoft Tudásbázis 957579. cikkében.

Ez egy biztonsági tanácsadó, amely nem biztonsági célú frissítéssel foglalkozik. Nem ellentmondás ez?
A biztonsági tanácsadók olyan biztonsági változásokkal foglalkoznak, melyek nem igényelnek biztonsági közleményt, mégis érinthetik az ügyfél teljes körű biztonságát. A biztonsági tanácsadókban a Microsoft tájékoztatja ügyfeleit a biztonsági résnek nem minősülő és biztonsági közleményt nem igénylő biztonsági jellegű információkról, vagy olyan témákról, melyekről nem adtak ki biztonsági közleményt. Jelen esetben egy olyan frissítés meglétéről tájékoztatjuk, mely hatással van a későbbi frissítések (köztük biztonsági frissítések) végrehajtására. Tehát a tanácsadó nem egy adott biztonsági réssel foglalkozik; inkább az ügyfél teljes körű biztonságát tartja szem előtt.

Hogyan kínálja fel a Microsoft a frissítést?
A frissítések a Microsoft letöltőközpontjában érhetők el. Az érintett szoftverek frissítéseire mutató közvetlen hivatkozásokat lásd az Érintett szoftverek táblázat Áttekintés részében. A frissítésről és a működés változásairól részletesen lásd a Microsoft Tudásbázis 957579. cikkét.

A frissítés az Automatic Update helyen is elérhető?
Nem. Ezek a frissítések nem érhetők el az Automatic Update helyen. A frissítések csak a Microsoft letöltőközpontjából is elérhetőek. Az érintett szoftverek frissítéseire mutató közvetlen hivatkozásokat lásd az Érintett szoftverek táblázat Áttekintés részében.

Ez a biztonsági frissítés miért nem biztonsági közleményben került kiadásra?
Ez beállítási kérdés. A DNS-csonkolás a kívánt módon működik és egyes ügyfeleknél előfordulhat, hogy a DNS-csonkolásra támaszkodva, jogosan érnek el külső eszközöket, amelyeket a szervezeten belüliként kezelnek.

A frissítést miért biztonsági tanácsadó keretében adták ki?
Az ügyfelek nem mindig tudnak róla, hogy a rendszerkörnyezetükben működő Windows-ügyfél csonkolást alkalmaz. A csonkolás kapcsán előfordulhat, hogy az ügyfelek belső eszközként kezelik a szervezet határain kívüli rendszereket és megadják személyes adataikat vagy adatokhoz való illetéktelen hozzáférésre alkalmas biztonsági rések kihasználására adnak lehetőséget.

Lehetséges megoldások

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások nem szüntetik meg a látens kockázatot, de segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a funkcionalitást, azt a következő fejezetben jelezzük.

A DNS-csonkolás letiltása

Az automatikus DNS-csonkolás letiltásához mentse a következőt egy .REG kiterjesztésű fájlba, majd futtassa a regedit.exe /s <fájlnév> parancsot emelt szintű vagy rendszergazdai parancssorból:

Megjegyzés A UseDomainNameDevolution rendszerleíró értékről bővebben lásd a UseDomainNameDevolution TechNet cikket.

Windows beállításszerkesztő 5.00 verzió
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]
"UseDomainNameDevolution"=dword:00000000

Ahhoz, hogy a változtatások hatása érezhető legyen, a DNS-ügyfél szolgáltatást le kell állítani, majd újra kell indítani. Ehhez írja be emelt szintű vagy rendszergazdai parancssorba az alábbi parancsot:

net stop dnscache & net start dnscache

A megoldás hatása: A DNS-feloldó nem végzi el a csonkolást, így előfordulhat, hogy akadályozza az ezt igénylő alkalmazást vagy konfigurációt. A beállítás nincs hatással a csonkolás egyéni módját alkalmazó alkalmazásokra.

Tartományutótag-keresési lista konfigurálása

Tartományutótag-keresési lista létrehozásához mentse a következőt egy .REG kiterjesztésű fájlba, majd futtassa a regedit.exe /s <fájlnév> parancsot emelt szintű vagy rendszergazdai parancssorból:

Windows Registry Editor Version 5.00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"SearchList"=<domain specific search list>

Megjegyzés A Windows Server 2003 képes a tartományutótag-keresési lista elosztására a Csoportházirenden keresztül. Bővebb információért lásd: Microsoft Tudásbázis 294785, DNS-utótagok keresési listája.

A megoldás hatása: Ha az ügyfélrendszereken tartományutótag-keresési listát konfiguráltak, csak azt az utótaglistát használják a DNS-lekérdezésekben. Az elsődleges DNS-utótagot és a kapcsolatspecifikus DNS-utótagokat nem. A DNS-feloldó nem végzi el a csonkolást, így előfordulhat, hogy akadályozza az ezt igénylő alkalmazást vagy konfigurációt.

Egyéb információ

További tudnivalók:

Felelősséget kizáró nyilatkozat

A jelen tanácsadó tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók:

  • 1.0 verzió (2009. június 9.): Tanácsadó közzététele.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: