• [アーティクル]

セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 971888

DNS Devolution の更新

公開日: 2009 年 6 月 9 日

バージョン: 1.0

Microsoft は、お客様がシステムを保護し続けるのに役立つ DNS デボルブの更新プログラムの提供を発表しています。 doメイン 名に 3 つ以上のラベル ("contoso.co.us" など)、または DNS サフィックスリストが構成されていないお客様、または次の軽減要因が適用されないお客様は、クライアント システムが組織の境界外のシステムを組織の境界の内部にあるかのように扱うことを誤って許可している可能性があります。

軽減要因:

  • doメインに参加していて、システムに DNS サフィックス検索リストが構成されているお客様は、外部システムを内部と同じように誤って扱うリスクはありません。 Microsoft では、すべての DNS クエリが組織の境界内に収まるように、クライアント システムで DNS サフィックス検索リストを設定することをお勧めします。
  • ほとんどの場合、doメイン のメンバーではないホーム ユーザーは DNS のデボルブを使用しないため、このリスクにさらされることはありません。 do のメンバーではないがメインプライマリ DNS サフィックスを構成しているホーム ユーザーは、DNS のデボルブを使用し、外部システムが内部であるかのように誤って処理される危険性があります。
  • DNS が実行メイン名前が 2 つのラベルで構成されているお客様は、このリスクにさらされません。 影響を受けなかった顧客の例としては、contoso.com または fabrikam.gov があります。"contoso" と "fabrikam" は、それぞれの ".com" と "gov" の最上位レベルの doメイン (TLD) の下に顧客が登録された doメイン 名前です。

一般情報

概要

アドバイザリの目的: お客様がシステムの保護を維持するのに役立つ可能性のあるセキュリティ以外の更新プログラムの可用性の明確化と通知を提供します。

アドバイザリの状態: Microsoft サポート技術情報の記事と関連する更新プログラムがリリースされました。

推奨事項: 参照されているナレッジ ベースを確認し、適切な更新プログラムを適用します。

リファレンス [識別]
Microsoft サポート技術情報の記事 957579

このアドバイザリでは、次のソフトウェアについて説明します。

影響を受けるソフトウェア
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 と Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Itanium ベースのシステム用 Windows Server 2003 SP2
Windows Vista、Windows Vista Service Pack 1、Windows Vista Service Pack 2
Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1、Windows Vista x64 Edition Service Pack 2
32 ビット システムの場合は Windows Server 2008、32 ビット システム Service Pack 2 の場合は Windows Server 2008
x64 ベースのシステムの場合は Windows Server 2008、x64 ベースのシステム Service Pack 2 の場合は Windows Server 2008
Itanium ベースのシステム用 Windows Server 2008 と Itanium ベースのシステム Service Pack 2 用 Windows Server 2008

よく寄せられる質問

アドバイザリの範囲は何ですか?
このアドバイザリでは、参加しているが DNS サフィックス リストが構成されていないシステムの組織の境界メイン定義するのに役立つ更新プログラムが利用可能であることを通知します。 更新は、[概要] セクション。

最上位レベルの doメイン (TLD) とは
最上位の doメイン (TLD) は、インターネット doメイン 名の最後の部分です。 これらは、doメイン 名の最後のドットの後に続く文字です。 たとえば、doメイン 名 wpad.western.corp.contoso.co.us では、TLD は ".us" です。 TLD は、主に国コードとジェネリックの 2 種類に分割できます。 国コードの TLD は、国ごとに 2 文字の省略形です。 この例では、.us は米国用です。 汎用 TLD は、.com、.net、.org などの従来から認識可能な 3 文字以上の省略形です。使用可能なすべての TLD の完全な一覧については、IANA の次の一覧を参照してください。

プライマリ DNS サフィックス (PDS) とは
これは、コンピューターの単一ラベル ホスト名の右側に付加された doメイン 名です。 完全修飾 doメイン 名 (FQDN) はホスト名>として<定義できます。<プライマリ DNS サフィックス>。 既定では、コンピューターの FQDN のプライマリ DNS サフィックス部分は、コンピューターが参加している Active Directory doメイン の名前と同じです。 ただし、コンピューターの PDS は、[マイ コンピューター] の [プロパティ] ダイアログ ボックスを使用して構成した場合に参加する DNSメイン と異なる場合があります。

第 2 レベルの doメイン (SLD) とは
第 2 レベルの doメイン (SLD) は、doメイン TLD の "下" または左側にあります。 前の例では、wpad.western.corp.contoso.co.us、SLD は ".co" です。 SLD の最も一般的な登録は、国コード TLD の下にあります。 米国は、主に米国の州登録に SLD を使用します 。たとえば、コロラド州には ".co.us" が使用されます。 多くの場合、米国以外の SLD では、".com.sg" などの一般的な TLD 名が再利用されます。

DNS デボルブ機能は何を行いますか?
Devolution は、Windows DNS クライアント機能です。 Devolution は、Windows DNS クライアントが単一ラベルの非修飾ホスト名の DNS クエリを解決するプロセスです。 クエリは、ホスト名に PDS を追加することによって構築されます。 クエリは、PDS の左端のラベルを体系的に削除して、ホスト名と再メイン PDS が解決されるかメイン削除された PDS のラベルが 2 つだけ解決されるまで再試行されます。 たとえば、western.corp.contoso.co.us で "単一ラベル" を探している Windows クライアントはメイン解決するシステムが見つかるまで、Single-label.western.corp.contoso.co.us、Single-label.corp.contoso.co.us、Single-label.contoso.co.us、Single-label.co.us を段階的に照会します。 このプロセスは、デボルブと呼ばれます。 DNS クライアント サービスとデボルブの詳細については、TechNet の記事「Windows の TCP/IP の基礎」、第 9 章 - Windows での DNS のサポートに関する記事の「単一ラベルの名前解決、修飾されていない Doメイン 名」セクションを参照してください。

このリスクの原因は何ですか?
悪意のあるユーザーは、組織の境界外で単一ラベル名のシステムをホストする可能性があり、DNS のデボルブにより、Windows DNS クライアントが組織の境界の内部にあるかのように正常に接続される可能性があります。 たとえば、企業の DNS サフィックスが corp.contoso.co.us されていて、"Single-Label" という修飾されていないホスト名を解決しようとすると、DNS リゾルバーは Single-Label.corp.contoso.co.us を試みます。 それが見つからない場合は、DNS のデボルブを介して、Single-label.contoso.co.us を解決しようとします。 それが見つからない場合は、contoso.co.us の外部にある Single-label.co.us を解決しようとしますメイン。

クエリが組織の境界外に出る場合、どのような影響がありますか?
影響は、組織の境界をエスケープするクエリによって異なります。

すべてのクエリで内部 IP アドレスが公開されます。 ネットワーク クライアントは、悪意のあるサーバーと資格情報を交換する可能性があります。 WPAD サーバーのクエリの場合、クライアント コンピューターに悪意のあるプロキシが設定されている可能性があります。

この更新プログラムは、現在の DNS のデボルブ動作を変更しますか?
はい。 更新プログラムチェック、Windows クライアントの実行内容メインを確認し、その中に DNS クエリを制限しますメイン。 DNS のデボルブ動作の変更の詳細と例については、マイクロソフト サポート技術情報の記事 957579を参照してください

この更新プログラムをインストールした後のユーザー エクスペリエンスに変更はありますか?
はい。 更新プログラムがインストールされると、DNS リゾルバーは Windows クライアントの doメイン 設定に基づいてレベルへのデボルブのみを実行し、この動作に依存するアプリケーションや構成が中断される可能性があります。 DNS のデボルブ動作の変更の詳細については、マイクロソフト サポート技術情報の記事957579を参照してください

これは、セキュリティ以外の更新プログラムに関するセキュリティ アドバイザリです。 矛盾しているのではないですか?
セキュリティ アドバイザリは、セキュリティ情報を必要としないが、お客様の全体的なセキュリティに影響を与える可能性があるセキュリティの変更に対処します。 セキュリティ アドバイザリは、脆弱性として分類されず、セキュリティ情報を必要としない可能性がある問題や、セキュリティ情報がリリースされていない問題に関するセキュリティ関連情報を Microsoft が顧客に伝える方法です。 この場合、セキュリティ更新プログラムを含む、後続の更新プログラムを実行する機能に影響を与える更新プログラムの可用性が通知されます。 したがって、このアドバイザリは特定のセキュリティの脆弱性には対処しません。むしろ、それはあなたの全体的なセキュリティに対処します。

この更新プログラムはどのように提供されますか?
これらの更新プログラムは、Microsoft ダウンロード センター入手できます。 影響を受ける特定のソフトウェアの更新プログラムへの直接リンクは、[概要] セクションの [影響を受けるソフトウェア] の表に表示されます。 更新プログラムと動作の変更の詳細については、マイクロソフト サポート技術情報の記事957579を参照してください

この更新プログラムは自動更新で配布されますか?
いいえ。 これらの更新プログラムは、自動更新メカニズムでは配布されません。 更新プログラムは、Microsoft ダウンロード センターからのみ入手できます。 影響を受ける特定のソフトウェアの更新プログラムへの直接リンクは、[概要] セクションの [影響を受けるソフトウェア] の表に表示されます。

セキュリティ情報で発表されているセキュリティ更新プログラムではないのはなぜですか?
これは、構成上の問題です。 DNS のデボルブは意図したとおりに動作しており、一部のお客様は DNS のデボルブに依存して、組織の境界から資産に正当に到達し、内部資産として扱う場合があります。

セキュリティ アドバイザリでこの更新プログラムが提供される理由
お客様は、環境内の Windows クライアントがデボルブを使用していることを知らない場合があります。 Devolution を使用すると、クライアントは境界外のシステムを内部資産として扱うことができ、資格情報を放棄したり、情報漏えいの種類の脆弱性にさらされたりする可能性があります。

推奨されるアクション

対処方法

Microsoft では、次の回避策をテストしました。 これらの回避策では、基になるリスクは修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、次のセクションで確認できます。

DNS Devolution を無効にする

自動 DNS デボルブを無効にするには、次のコマンドを ..REG 拡張機能を使用し、管理者特権または管理コマンド プロンプトから /s <ファイル名> regedit.exe実行します。

注: UseDoメインNameDevolution レジストリ値の詳細については、TechNet の記事「UseDoメインNameDevolution」を参照してください。

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000

変更を有効にするには、DNS クライアント サービスを停止して再び開始する必要があります。 これは、次のコマンドを使用して、管理者特権または管理用のコマンド プロンプトから実行できます。

net stop dnscache & net start dnscache

回避策の影響: DNS リゾルバーはデボルブを実行せず、この動作に依存するアプリケーションまたは構成が中断される可能性があります。 独自の形式のデボルブを実行するアプリケーションは、この設定の影響を受けません。

Doメイン サフィックス検索リストを構成する

doメイン サフィックス検索リストを作成するには、次をファイルに保存します。REG 拡張機能を使用し、管理者特権または管理コマンド プロンプトから /s <ファイル名>regedit.exe実行します。

Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific="specific" search="search" list="list">

: Windows Server 2003 には、グループ ポリシーを使用して doメイン サフィックス検索リストを配布する機能が含まれています。 詳細については、「DNS サフィックス検索リスト」セクションの「Microsoft サポート技術情報の294785」を参照してください。

回避策の影響: クライアント システムで doメイン サフィックス検索リストが構成されている場合、そのサフィックス リストのみが DNS クエリで使用されます。 プライマリ DNS サフィックスと接続固有の DNS サフィックスは使用されません。 DNS リゾルバーはデボルブを実行せず、この動作に依存するアプリケーションや構成が中断される可能性があります。

その他の情報

リソース:

  • フォームに入力すると、次 の Web サイトにアクセスしてフィードバックを提供できます。
  • 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポート受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプおよびサポート Web サイト参照してください。
  • 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポート Web サイト参照してください。
  • Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン:

  • V1.0 (2009 年 6 月 9 日): アドバイザリが公開されました。

ビルド日: 2014-04-18T13:49:36Z-07:00