• Artikel

Beveiligingsadvies

Microsoft Security Advisory 971888

Update voor DNS-devolution

Gepubliceerd: 09 juni 2009

Versie: 1.0

Microsoft kondigt de beschikbaarheid aan van een update voor DNS-devolution die klanten kan helpen bij het beveiligen van hun systemen. Klanten van wie de domeinnaam drie of meer labels heeft, zoals 'contoso.co.us', of die geen DNS-achtervoegsellijst hebben geconfigureerd, of voor wie de volgende beperkende factoren niet van toepassing zijn, kunnen clientsystemen per ongeluk systemen buiten de organisatiegrens behandelen alsof ze intern zijn voor de grens van de organisatie.

Beperkende factoren:

  • Klanten die lid zijn van een domein en een zoeklijst voor DNS-achtervoegsels hebben die op hun systeem zijn geconfigureerd, lopen geen risico op onbedoelde behandeling van externe systemen alsof ze intern waren. Microsoft moedigt alle zakelijke klanten aan om zoeklijsten voor DNS-achtervoegsels in te stellen op clientsystemen om ervoor te zorgen dat alle DNS-query's binnen de grenzen van de organisatie blijven.
  • In de meeste gevallen maken thuisgebruikers die geen lid zijn van een domein geen gebruik van DNS-devolution en worden ze daarom niet blootgesteld aan dit risico. Thuisgebruikers die geen lid zijn van een domein, maar een primair DNS-achtervoegsel hebben geconfigureerd, maken echter gebruik van DNS-devolution en lopen het risico dat externe systemen onbedoeld worden behandeld alsof ze intern waren.
  • Klanten van wie de DNS-domeinnaam bestaat uit twee labels, worden niet blootgesteld aan dit risico. Een voorbeeld van een klant die niet wordt beïnvloed, wordt contoso.com of fabrikam.gov, waarbij contoso en fabrikam door de klant geregistreerde domeinnamen zijn onder hun respectieve ".com" en ".gov" domeinen op het hoogste niveau (TLD's).

Algemene gegevens

Overzicht

Doel van advies: om verduidelijking en melding te geven van de beschikbaarheid van een niet-beveiligingsupdate die klanten kan helpen bij het beschermen van hun systemen.

Adviesstatus: Microsoft Knowledge Base-artikel en bijbehorende updates zijn uitgebracht.

Aanbeveling: Bekijk de knowledge base waarnaar wordt verwezen en pas de juiste updates toe.

Verwijzingen Kenmerk
Microsoft Knowledge Base-artikel 957579

In dit advies worden de volgende software besproken.

Betrokken software
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 en Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 met SP2 voor op Itanium gebaseerde systemen
Windows Vista, Windows Vista Service Pack 1 en Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 en Windows Vista x64 Edition Service Pack 2
Windows Server 2008 voor 32-bits systemen en Windows Server 2008 voor 32-bits systemen Service Pack 2
Windows Server 2008 voor x64-systemen en Windows Server 2008 voor x64-systemen Service Pack 2
Windows Server 2008 voor Op Itanium gebaseerde systemen en Windows Server 2008 voor Op Itanium gebaseerde Systemen Service Pack 2

Veelgestelde vragen

Wat is het bereik van het advies?
Dit advies geeft aan dat er updates beschikbaar zijn die helpen bij het definiëren van een organisatiegrens voor systemen die lid zijn van een domein, maar waarvoor geen lijst met DNS-achtervoegsels is geconfigureerd. Updates zijn beschikbaar voor de software die wordt vermeld in de sectie Overzicht .

Wat is een domein op het hoogste niveau (TLD)?
Het domein op het hoogste niveau (TLD) is het laatste deel van een internetdomeinnaam. Dit zijn de letters die de laatste punt van een domeinnaam volgen. In de domeinnaam wpad.western.corp.contoso.co.us is de TLD bijvoorbeeld .us. TLD's kunnen voornamelijk worden gesplitst in twee typen: landcode en algemeen. TLD's met landcode zijn twee letter afkortingen voor elk land. In dit voorbeeld is .us voor Verenigde Staten. Algemene TLD's zijn de traditioneel herkenbare afkortingen van drie (of meer) letters, zoals .com, .net, .org, enzovoort. Raadpleeg de volgende lijst bij IANA voor een volledige lijst met alle beschikbare TLD's.

Wat is een primaire DNS-achtervoegsel (PDS)?
Dit is de domeinnaam die rechts van de hostnaam van een computer met één label wordt toegevoegd. Een FQDN (Fully Qualified Domain Name) kan worden gedefinieerd als <hostnaam>.<primair DNS-achtervoegsel>. Standaard is het primaire DNS-achtervoegselgedeelte van de FQDN van een computer hetzelfde als de naam van het Active Directory-domein waaraan de computer is gekoppeld. De PDS van een computer kan echter afwijken van het DNS-domein waaraan deze is gekoppeld wanneer deze is geconfigureerd via het dialoogvenster Eigenschappen van Mijn computer.

Wat is een domein op het tweede niveau (SLD)?
Een domein op het tweede niveau (SLD) is een domein dat zich direct 'onder' of links van de TLD bevindt. In het vorige voorbeeld is wpad.western.corp.contoso.co.us SLD .co. De meest voorkomende registratie van SLD's is onder landcode TLD's. De Verenigde Staten maakt voornamelijk gebruik van de SLD voor amerikaanse staatsregistratie, zoals '.co.us' voor de staat Colorado. Niet-AMERIKAANSE SLD's hergebruiken vaak veelgebruikte TLD-namen, zoals .com.sg.

Wat doet de functie DNS-devolution?
Devolution is een Windows DNS-clientfunctie. Devolution is het proces waarmee Windows DNS-clients DNS-query's voor niet-gekwalificeerde hostnamen met één label oplossen. Query's worden samengesteld door PDS toe te voegen aan de hostnaam. De query wordt opnieuw geprobeerd door systematisch het meest linkse label in de PDS te verwijderen totdat de hostnaam + resterende PDS wordt omgezet of slechts twee labels in de gestreepte PDS blijven staan. Windows-clients die op zoek zijn naar 'Enkel label' in het western.corp.contoso.co.us domein, voeren geleidelijk query's uit op Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us en Single-label.co.us totdat er een systeem wordt gevonden dat wordt omgezet. Dit proces wordt devolution genoemd. Zie voor meer informatie over de DNS-clientservice en devolution de naamomzetting voor single-label, niet-gekwalificeerde domeinnamen in het TechNet-artikel, TCP/IP Fundamentals voor Windows, hoofdstuk 9 - Windows-ondersteuning voor DNS.

Wat veroorzaakt dit risico?
Een kwaadwillende gebruiker kan een systeem hosten met een naam met één label buiten de grens van een organisatie. Als gevolg van DNS-devolution kan een Windows DNS-client verbinding maken met het systeem alsof deze intern is voor de organisatiegrens. Als het DNS-achtervoegsel van een onderneming bijvoorbeeld corp.contoso.co.us is en er wordt geprobeerd een niet-gekwalificeerde hostnaam van 'Single-Label' op te lossen, probeert de DNS-resolver Single-Label.corp.contoso.co.us. Als dat niet wordt gevonden, probeert het via DNS-devolution om Single-label.contoso.co.us om te lossen. Als dat niet wordt gevonden, wordt geprobeerd Single-label.co.us, die zich buiten het contoso.co.us domein bevindt, op te lossen.

Wat zijn de gevolgen voor de query's die buiten de grenzen van de organisatie vallen?
De gevolgen variëren, afhankelijk van de query die de grens van de organisatie overschrijdt.

Alle query's zouden de interne IP-adressen beschikbaar maken. Netwerkclients kunnen referenties uitwisselen met de schadelijke server. Als de query voor een WPAD-server is, kan schadelijke proxy worden ingesteld op de clientcomputers.

Wijzigt deze update mijn huidige DNS-devolutiongedrag?
Ja. De update controleert om te zien wat het domein van de Windows-client is en beperkt DNS-query's tot binnen dat domein. Zie het Microsoft Knowledge Base-artikel 957579 voor meer informatie en voorbeelden van de wijziging in DNS-devolutiongedrag.

Is er een wijziging in de gebruikerservaring nadat deze update is geïnstalleerd?
Ja. Nadat de update is geïnstalleerd, voert de DNS-resolver alleen devolution uit op een niveau op basis van de domeininstellingen van de Windows-client, waardoor toepassingen of configuraties die afhankelijk zijn van dit gedrag, mogelijk worden onderbroken. Zie het Microsoft Knowledge Base-artikel 957579 voor meer informatie over de wijziging in DNS-devolutiongedrag.

Dit is een beveiligingsadvies over een niet-beveiligingsupdate. Is dat geen tegenstrijdigheid?
Beveiligingsadviezen hebben betrekking op beveiligingswijzigingen die mogelijk geen beveiligingsbulletin vereisen, maar kunnen nog steeds van invloed zijn op de algehele beveiliging van de klant. Beveiligingsadviezen zijn een manier voor Microsoft om beveiligingsgerelateerde informatie te communiceren aan klanten over problemen die mogelijk niet als beveiligingsproblemen worden geclassificeerd en waarvoor mogelijk geen beveiligingsbulletin is vereist of over problemen waarvoor geen beveiligingsbulletin is uitgebracht. In dit geval communiceren we de beschikbaarheid van een update die van invloed is op de mogelijkheid om volgende updates uit te voeren, inclusief beveiligingsupdates. Daarom heeft dit advies geen betrekking op een specifiek beveiligingsprobleem; In plaats daarvan wordt uw algehele beveiliging aangepakt.

Hoe wordt deze update aangeboden?
Deze updates zijn beschikbaar in het Microsoft Downloadcentrum. Directe koppelingen naar de updates voor specifieke betrokken software worden vermeld in de tabel Beïnvloede software in de sectie Overzicht . Zie het Microsoft Knowledge Base-artikel 957579 voor meer informatie over de update en de wijzigingen in het gedrag.

Wordt deze update gedistribueerd op Automatische update?
Nee Deze updates worden niet gedistribueerd over het mechanisme voor automatische updates. De updates zijn alleen beschikbaar via het Microsoft Downloadcentrum. Directe koppelingen naar de updates voor specifieke betrokken software worden vermeld in de tabel Beïnvloede software in de sectie Overzicht .

Waarom is dit geen beveiligingsupdate die wordt aangekondigd in een beveiligingsbulletin?
Dit is een configuratieprobleem. DNS-devolution werkt zoals bedoeld en sommige klanten kunnen afhankelijk zijn van DNS-devolution om legitieme assets buiten hun organisatiegrens te bereiken en ze als interne assets te behandelen.

Waarom wordt deze update aangeboden in een beveiligingsadvies?
Klanten weten mogelijk niet dat Windows-clients in hun omgeving devolution gebruiken. Met devolution kunnen clients systemen buiten hun grenzen behandelen als interne activa, zodat ze waarschijnlijk referenties opgeven of zichzelf blootstellen aan beveiligingsproblemen van het type openbaarmaking van informatie.

Voorgestelde acties

Tijdelijke oplossingen

Microsoft heeft de volgende tijdelijke oplossingen getest. Hoewel deze tijdelijke oplossingen het onderliggende risico niet corrigeren, helpen ze bekende aanvalsvectoren te blokkeren. Wanneer een tijdelijke oplossing de functionaliteit vermindert, wordt deze geïdentificeerd in de volgende sectie.

DNS-devolution uitschakelen

Als u automatische DNS-devolution wilt uitschakelen, slaat u het volgende op in een bestand met een . REG-extensie en voer vervolgens regedit.exe /s <bestandsnaam> uit vanaf een opdrachtprompt met verhoogde bevoegdheid of beheer:

Opmerking Raadpleeg het TechNet-artikel UseDomainNameDevolution voor meer informatie over de registerwaarde UseDomainNameDevolution.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000

Om de wijzigingen van kracht te laten worden, moet de DNS-clientservice worden gestopt en opnieuw worden gestart. Dit kan worden bereikt vanaf een opdrachtprompt met verhoogde bevoegdheid of beheer met behulp van de volgende opdracht:

net stop dnscache & net start dnscache

Gevolgen van tijdelijke oplossing: de DNS-resolver voert geen devolution uit, waardoor toepassingen of configuraties die afhankelijk zijn van dit gedrag, mogelijk worden onderbroken. Toepassingen die hun eigen vorm van devolution uitvoeren, worden niet beïnvloed door deze instelling.

Een zoeklijst voor domeinachtervoegsels configureren

Als u een zoeklijst met domeinachtervoegsels wilt maken, slaat u het volgende op in een bestand met een . REG-extensie en voer vervolgens regedit.exe /s <bestandsnaam> uit vanaf een opdrachtprompt met verhoogde bevoegdheid of beheer:

Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific="specific" search="search" list="list">

Opmerking Windows Server 2003 bevat de mogelijkheid om de zoeklijst voor domeinachtervoegsels te distribueren via Groepsbeleid. Zie Microsoft Knowledge Base 294785 in de sectie Zoeklijst voor DNS-achtervoegsels voor meer informatie.

Gevolgen van tijdelijke oplossing: wanneer een zoeklijst voor domeinachtervoegsels is geconfigureerd op clientsystemen, wordt alleen die achtervoegsellijst gebruikt in DNS-query's. Het primaire DNS-achtervoegsel en eventuele verbindingsspecifieke DNS-achtervoegsels worden niet gebruikt. De DNS-resolver voert geen devolution uit, waardoor toepassingen of configuraties die afhankelijk zijn van dit gedrag, mogelijk worden onderbroken.

Overige informatie

Bronnen:

  • U kunt feedback geven door het formulier in te vullen door naar de volgende website te gaan.
  • Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning van Security Support ontvangen. Zie de website Microsoft Help en ondersteuning voor meer informatie over beschikbare ondersteuningsopties.
  • Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Ga naar de website voor internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor internationale ondersteuningsproblemen.
  • De website Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.

Disclaimer:

De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.

Revisies:

  • V1.0 (9 juni 2009): Advies gepubliceerd.

Gebouwd op 2014-04-18T13:49:36Z-07:00