Microsofts sikkerhetsveiledning 971888

Artikkel
11/30/2018

Oppdatering for DNS-overføring

Publisert: 9. juni 2009

Versjon: 1.0

Microsoft melder at det finnes en oppdatering for DNS-overføring som kan hjelpe kundene med å beskytte systemene sine. Kunder som har domenenavn med tre eller flere ledd, for eksempel "contoso.co.us", som ikke har konfigurert en liste for DNS-suffikser, eller som de følgende begrensende faktorene ikke gjelder for, kan uforvarende tillate at klientsystemer behandler systemer på utsiden av organisasjonsgrensen som om de var innenfor organisasjonsgrensen.

Begrensende faktorer:

Kunder som er tilknyttet et domene og har konfigurert en søkeliste for DNS-suffikser på systemet, er ikke utsatt for uforvarende å behandle eksterne systemer som om de var interne. Microsoft oppfordrer alle bedriftskunder til å angi en søkeliste for DNS-suffikser på klientsystemene for å sikre at alle DNS-spørringer holdes innen organisasjonsgrensene.
Hjemmebrukere som ikke er medlemmer av et domene, bruker i de fleste tilfeller ikke DNS-overføring og er derfor ikke utsatt for risiko. Hjemmebrukere som ikke er medlemmer av et domene, men som har konfigurert et primært DNS-suffiks, bruker imidlertid DNS-overføring og er utsatt for uforvarende å behandle eksterne systemer som om de var interne.
Kunder med DNS-domener som består av to ledd, er ikke utsatt for denne risikoen. Et eksempel på kunder som ikke berøres, er contoso.com eller fabrikam.gov, der "contoso" og "fabrikam" er kunder som er registrert som domenenavn under de respektive .com- og .gov-toppdomene.

Generell informasjon

Oversikt

Målet med veiledningen: Å redegjøre for og å varsle om at en ikke-sikkerhetsrelatert oppdatering er tilgjengelig, som kan hjelpe kundene med å beskytte systemene sine.

Status for veiledningen: Microsoft Knowledge Base-artikkel og tilhørende oppdateringer er utgitt.

Anbefaling: Les Knowledge Base-artikkelen det henvises til, og bruk de riktige oppdateringene.

Referanser	Identifisering
Microsoft Knowledge Base-artikkel	957579

Denne veiledningen gjelder følgende programvare.

Berørt programvare

Microsoft Windows 2000 Service Pack 4

Windows XP Service Pack 2 og Windows XP Service Pack 3

Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 SP2 for Itanium-based Systems

Windows Vista, Windows Vista Service Pack 1 og Windows Vista Service Pack 2

Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 og Windows Vista x64 Edition Service Pack 2

Windows Server 2008 for 32-biters systemer og Windows Server 2008 for 32-biters systemer med Service Pack 2

Windows Server 2008 for x64-baserte systemer og Windows Server 2008 for x64-baserte systemer med Service Pack 2

Windows Server 2008 for Itanium-based Systems og Windows Server 2008 for Itanium-based Systems med Service Pack 2

Vanlige spørsmål

Hva behandles i veiledningen?
Denne veiledningen varsler om at det finnes tilgjengelig oppdateringer som kan hjelpe med å definere en organisasjonsgrense for systemer som er tilknyttet et domene, men som ikke har konfigurert en liste for DNS-suffikser. Oppdateringer er tilgjengelige for programvaren som er oppført i Oversikt-delen.

Hva er et toppdomene?
Toppdomenet er den siste delen av et Internett-domenenavn. Dette er bokstavene som følger etter det siste punktumet i alle domenenavn. I domenenavnet wpad.western.corp.contoso.co.us er for eksempel toppdomenet ".us". Toppdomener kan primært deles inn i to typer: landskode og generell. Landskodetoppdomener er forkortelser på to bokstaver for hvert land. I dette eksemplet står .us for USA. Generelle toppdomener er de mer tradisjonelt gjenkjennbare forkortelsene med tre (eller flere) bokstaver, for eksempel .com, .net, .org osv. Hvis du vil ha en liste over alle tilgjengelige toppdomener, kan du se følgende liste hos IANA.

Hva er et primært DNS-suffiks (PDS)?
Dette er domenenavnet som legges til til høyre for datamaskinens vertsnavn på ett ledd. Et fullstendig domenenavn (FQDN) kan defineres som <vertsnavn>.<primært DNS-suffiks>. Som standard er delen med det primære DNS-suffikset i FQDNen til en datamaskin den samme som navnet på Active Directory-domenet som datamaskinen er knyttet til. PDSen til en datamaskin kan imidlertid være forskjellig fra DNS-domenet som den er knyttet til når den er konfigurert via dialogboksen Egenskaper fra Min datamaskin.

Hva er et underdomene?
Et underdomene er et domene som er plassert direkte "nedenfor" eller til venstre for toppdomenet. I det forrige eksemplet, wpad.western.corp.contoso.co.us, er underdomenet ".co". Den mest vanlige registreringen av underdomener er under landskodetoppdomener. USA bruker først og fremst underdomenet for amerikansk statsregistrering, for eksempel ".co.us" for staten Colorado. Ikke-amerikanske underdomener bruker ofte vanlige toppdomenenavn om igjen, for eksempel ".com.sg".

Hva gjør funksjonen for DNS-overføring?
Overføring er en Windows DNS-klientfunksjon. Overføring er prosessen der Windows DNS-klienter løser DNS-spørringer for ukvalifiserte vertsnavn med ett ledd. Spørringer konstrueres ved å legge et primært DNS-suffiks til vertsnavnet. Spørringen sendes på nytt ved systematisk å fjerne leddet lengst til venstre i PDSen helt til vertsnavnet og gjenværende PDS er løst eller bare to ledd gjenstår i den ribbede PDSen. For eksempel så vil Windows-klienter som ser etter "Single-label" i domenet western.corp.contoso.co.us, progressivt sende spørringene Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us og deretter Single-label.co.us til de finner et system som løser spørringen. Denne prosessen omtales som overføring. Hvis du vil ha mer informasjon om DNS-klienttjenesten og overføring, kan du se delen Name Resolution for Single-Label, Unqualified Domain Names i TechNet-artikkelen TCP/IP Fundamentals for Microsoft Windows, Chapter 9 - Windows Support for DNS.

Hva forårsaker risikoen?
En bruker med skadelige hensikter kan være vert for et system med et navn på ett ledd som er utenfor en organisasjonsgrense, og som på grunn av DNS-overføring kan få en Windows DNS-klient til å koble seg til systemet som om det var innenfor organisasjonsgrensen. Hvis for eksempel DNS-suffikset til en bedrift er corp.contoso.co.us og det gjøres et forsøk på å løse et ukvalifisert "Single-Label"-vertsnavn, vil DNS-løseren prøve Single-Label.corp.contoso.co.us. Hvis dette suffikset ikke blir funnet, vil den forsøke å løse Single-label.contoso.co.us via DNS-overføring. Hvis dette suffikset ikke blir funnet, vil den forsøke å løse Single-label.co.us, som er utenfor contoso.co.us-domenet.

Hva er konsekvensene for spørringer som går utenfor organisasjonsgrensen?
Konsekvensene kan variere avhengig av spørringen som går utenfor organisasjonsgrensen.

Alle spørringer avdekker den interne IP-adressen. Nettverksklienter kan utveksle legitimasjon med den skadelige serveren. Hvis spørringen er for en WPAD-server, kan det angis en skadelig proxy i klientmaskinene.

Endrer denne oppdateringen den gjeldende DNS-overføringsvirkemåten?
Ja. Oppdateringen sjekker hva domenet til Windows-klienten er, og begrenser DNS-spørringer til innen det domenet. Hvis du vil ha mer informasjon og se eksempler på endringen i DNS-overføringsvirkemåten, kan du se Microsoft Knowledge Base-artikkel 957579.

Blir brukeropplevelsen endret etter at denne oppdateringen er installert?
Ja. Etter at oppdateringen er installert, utfører DNS-løseren bare overføring på et nivå basert på domeneinnstillingene til Windows-klienten, noe som potensielt kan ødelegge programmer eller konfigurasjoner som avhenger av denne virkemåten. Hvis du vil ha mer informasjon om endringen i DNS-overføringsvirkemåten, kan du se Microsoft Knowledge Base-artikkel 957579.

Dette er en sikkerhetsveiledning om en ikke-sikkerhetsrelatert oppdatering. Er ikke det en selvmotsigelse?
Sikkerhetsveiledninger løser sikkerhetsendringer som kanskje ikke krever en sikkerhetsbulletin, men som likevel kan påvirke kundens totale sikkerhet. Sikkerhetsveiledninger er en måte for Microsoft å formidle sikkerhetsrelatert informasjon til kunder på om problemer som kanskje ikke klassifiseres som sikkerhetsproblemer og trenger en sikkerhetsbulletin, eller om problemer som det ikke er publisert en sikkerhetsbulletin for. I dette tilfellet formidler vi at det finnes en oppdatering som berører muligheten til å utføre påfølgende oppdateringer, inkludert sikkerhetsoppdateringer. Derfor løser ikke denne veiledningen et spesielt sikkerhetsproblem, men den omhandler den totale sikkerheten.

Hvordan tilbys denne oppdateringen?
Disse oppdateringene finnes på Microsoft Download Center. Direkte koblinger til oppdateringer for bestemt programvare som er berørt, er oppført i tabellen Berørt programvare i Oversikt-delen. Hvis du vil ha mer informasjon om oppdateringen og endringene i virkemåten, kan du se Microsoft Knowledge Base-artikkel 957579.

Er denne oppdateringen distribuert via Automatiske oppdateringer?
Nei. Disse oppdateringene er ikke distribuert via funksjonen Automatiske oppdateringer. Oppdateringene er bare tilgjengelige fra Microsoft Download Center. Direkte koblinger til oppdateringer for bestemt programvare som er berørt, er oppført i tabellen Berørt programvare i Oversikt-delen.

Hvorfor er ikke dette en sikkerhetsoppdatering som annonseres i en sikkerhetsbulletin?
Dette er et konfigurasjonsproblem. DNS-overføring fungerer slik det skal, og enkelte kunder er kanskje avhengige av DNS-overføring for legitimt å nå enheter utenfor organisasjonsgrensen og behandle dem som interne enheter.

Hvorfor tilbys denne oppdateringen i en sikkerhetsveiledning?
Kunder vet kanskje ikke at Windows-klienter i miljøet deres bruker overføring. Overføring kan tillate at klienter behandler systemer utenfor grensene sine som interne enheter, og dermed er det sannsynlig at de gir fra seg legitimasjon og utsetter seg for sikkerhetsproblemer av typen som fører til tilgjengeliggjøring av informasjon.

Forslag til tiltak

Løsninger

Microsoft har testet de midlertidige løsningene nedenfor. Disse midlertidige løsningene blokkerer kjente angrepsvektorer, men de løser ikke den underliggende risikoen. Hvis en midlertidig løsning reduserer funksjonaliteten, angis dette i den følgende delen.

Deaktiver DNS-overføring

Hvis du vil deaktivere DNS-overføring, lagrer du følgende som en fil med filtypen REG og kjører deretter regedit.exe /s <filnavn> fra en hevet eller administrativ ledetekst:

Obs! Hvis du vil ha mer informasjon om registerverdien UseDomainNameDevolution, kan du se TechNet-artikkelen UseDomainNameDevolution.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000

DNS-klienttjenesten må stoppes og startes på nytt for at endringene skal tre i kraft. Dette kan gjøres fra en hevet eller administrativ ledetekst ved hjelp av følgende kommando:

net stop dnscache & net start dnscache

Hva løsningen kan føre til: DNS-løseren vil ikke utføre og potensielt ødelegge programmer eller konfigurasjoner som er avhengige av denne virkemåten. Programmer som utfører sin egen form overføring, berøres ikke av denne innstillingen.

Konfigurer en søkeliste for domenesuffikser

Hvis du vil opprette en søkeliste for domenesuffikser, lagrer du følgende som en fil med filtypen REG og kjører deretter regedit.exe /s <filnavn> fra en hevet eller administrativ ledetekst:

Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific search list>

Obs! Windows Server 2003 har muligheten til å distribuere søkelisten for domenesuffikser via gruppepolicy. Hvis du vil ha mer informasjon, kan du se Microsoft Knowledge Base-artikkel 294785 i delen for søkeliste for DNS-suffikser.

Hva løsningen kan føre til: Når en søkeliste for domenesuffikser konfigureres på klientsystemer, kan bare dette suffikset brukes i DNS-spørringer. Det primære DNS-suffikset og eventuelle tilkoblingsspesifikke DNS-suffikser brukes ikke. DNS-løseren vil ikke utføre og potensielt ødelegge programmer eller konfigurasjoner som er avhengige av denne virkemåten.

Annen informasjon

Ressurser:

Du kan gi oss tilbakemelding ved å fylle ut skjemaet på følgende webområde.
Kunder i USA og Canada kan få kundestøtte hos Microsoft Product Support Services. Du finner mer informasjon om tilgjengelige alternativer for støtte, ved å gå til webområdet Microsoft Hjelp og støtte.
Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til webområdet for internasjonal støtte.
Webområdet Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.

Ansvarsfraskrivelse:

Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.

Revisjoner:

V1.0 (9. juni 2009): Veiledning publisert.

Built at 2014-04-18T01:50:00Z-07:00