Sicherheitsempfehlung
Microsoft Security Advisory 971888
Update für DNS Devolution
Veröffentlicht: 09. Juni 2009
Version: 1.0
Microsoft kündigt die Verfügbarkeit eines Updates für DNS-Devolution an, das Kunden dabei helfen kann, ihre Systeme zu schützen. Kunden, deren Name Standard drei oder mehr Bezeichnungen hat, z. B. "contoso.co.us", oder die keine DNS-Suffixliste konfiguriert haben oder für die die folgenden mildernden Faktoren nicht gelten, können es Clientsystemen ermöglichen, Systeme außerhalb der Organisationsgrenze versehentlich so zu behandeln, als wären sie innerhalb der Grenzen der Organisation intern.
Mildernde Faktoren:
- Kunden, die einer Do Standard beigetreten sind und eine DNS-Suffix-Suchliste auf ihrem System konfiguriert haben, sind nicht gefahrlos, externe Systeme versehentlich so zu behandeln, als wären sie intern. Microsoft fordert alle Unternehmenskunden auf, DNS-Suffix-Suchlisten auf Clientsystemen festzulegen, um sicherzustellen, dass alle DNS-Abfragen innerhalb der Organisationsgrenzen verbleiben.
- In den meisten Fällen verwenden Private Benutzer, die keine Mitglieder einer Do sind Standard keine DNS-Devolution verwenden und daher nicht diesem Risiko ausgesetzt sind. Private Benutzer, die keine Mitglieder einer Do Standard, aber ein primäres DNS-Suffix konfiguriert haben, verwenden jedoch DNS-Devolution und sind gefahrlos, externe Systeme versehentlich so zu behandeln, als wären sie intern.
- Kunden, deren DNS-Do Standard Name besteht, besteht aus zwei Bezeichnungen, werden diesem Risiko nicht ausgesetzt. Ein Beispiel für einen Kunden, der nicht betroffen ist, ist contoso.com oder fabrikam.gov, wobei "contoso" und "fabrikam" registriert sind Standard Namen unter den jeweiligen ".com" und ".gov" auf oberster Ebene do Standard s (TLDs).
Allgemeine Informationen
Übersicht
Zweck der Empfehlung: Zur Klärung und Benachrichtigung über die Verfügbarkeit eines nicht sicherheitsrelevanten Updates, die Kunden dabei helfen können, ihre Systeme geschützt zu halten.
Empfehlungsstatus: Der Microsoft Knowledge Base-Artikel und die zugehörigen Updates wurden veröffentlicht.
Empfehlung: Überprüfen Sie die referenzierte Wissensbasis, und wenden Sie die entsprechenden Updates an.
| References | Identifikation |
|---|---|
| Microsoft Knowledge Base-Artikel | 957579 |
In dieser Empfehlung wird die folgende Software erläutert.
Häufig gestellte Fragen
Was ist der Umfang der Beratung?
Diese Empfehlung enthält Benachrichtigungen, dass Updates verfügbar sind, die beim Definieren einer Organisationsgrenze für Systeme helfen Standard verbunden sind, aber keine DNS-Suffixliste konfiguriert ist. Updates sind für die Software verfügbar, die im Abschnitt "Übersicht" aufgeführt sind.
Was ist eine top-level do Standard (TLD)?
Die top-level do Standard (TLD) ist der letzte Teil einer Internet-Do Standard Name. Dies sind die Buchstaben, die dem endgültigen Punkt eines do Standard Namens folgen. Beispielsweise lautet in der Do Standard Name wpad.western.corp.contoso.co.us die TLD ".us". TLDs können in erster Linie in zwei Typen unterteilt werden: Ländercode und Generika. Ländercode-TLDs sind zwei Buchstaben Abkürzungen für jedes Land. In diesem Beispiel ist .us für USA. Generische TLDs sind die traditionell erkennbareren drei (oder mehr) Buchstaben abkürzungen wie .com, .net, .org usw. Eine vollständige Liste aller verfügbaren TLDs finden Sie in der folgenden Liste bei IANA.
Was ist ein primäres DNS-Suffix (PDS)?
Dies ist der Do Standard Name, der rechts neben dem Hostnamen einer einzelnen Bezeichnung eines Computers angefügt wird. Ein vollqualifizierter Do Standard Name (FQDN) kann als <Hostname> definiert werden.<primäres DNS-Suffix>. Standardmäßig entspricht der primäre DNS-Suffixteil des FQDN eines Computers dem Namen des Active Directory-Vorgangs Standard dem der Computer beigetreten ist. Die PDS eines Computers kann jedoch anders sein als der DNS-Vorgang Standard dem er über das Dialogfeld "Eigenschaften" von "Mein Computer" konfiguriert wird.
Was ist eine zweite Ebene Standard (SLD)?
Eine zweite Do Standard (SLD) ist eine Do Standard direkt "unter" oder links von der TLD. Im vorherigen Beispiel ist wpad.western.corp.contoso.co.us die SLD ".co". Die häufigste Registrierung von SLDs erfolgt unter Ländercode-TLDs. Die USA verwendet in erster Linie die SLD für die US-Bundesstaatsregistrierung wie ".co.us" für den Bundesstaat Colorado. Nicht-US-SLDs verwenden häufig allgemeine TLD-Namen wie ".com.sg".
Was macht das DNS-Devolution-Feature?
Devolution ist ein Windows-DNS-Clientfeature. Devolution ist der Prozess, mit dem Windows-DNS-Clients DNS-Abfragen für nicht qualifizierte Hostnamen mit einer Bezeichnung auflösen. Abfragen werden erstellt, indem PDS an den Hostnamen angefügt wird. Die Abfrage wird wiederholt, indem die Linksbeschriftung in den PDS systematisch entfernt wird, bis der Hostname + re Standard ing PDS aufgelöst wird oder nur zwei Beschriftungen in der entfernten PDS aufgelöst werden Standard. Beispielsweise werden Windows-Clients, die in der western.corp.contoso.co.us nach "Einzelbezeichnungen" suchen Standard werden schrittweise Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us und dann Single-label.co.us, bis ein System gefunden wird, das aufgelöst wird. Dieser Prozess wird als Devolution bezeichnet. Weitere Informationen zum DNS-Clientdienst und zur Devolution finden Sie im Abschnitt "Name Resolution for Single Label, Unqualified Do Standard Names" im TechNet-Artikel, TCP/IP-Grundlagen für Windows, Kapitel 9 – Windows-Unterstützung für DNS.
Was verursacht dieses Risiko?
Ein böswilliger Benutzer könnte ein System mit einem Namen mit einer Bezeichnung außerhalb der Grenzen einer Organisation hosten und aufgrund der DNS-Devolution möglicherweise erfolgreich einen Windows-DNS-Client abrufen, um eine Verbindung mit dem System herzustellen, als wäre es intern an der Organisationsgrenze. Wenn beispielsweise das DNS-Suffix eines Unternehmens corp.contoso.co.us ist und versucht wird, einen nicht qualifizierten Hostnamen von "Single-Label" aufzulösen, versucht der DNS-Resolver Single-Label.corp.contoso.co.us. Wenn dies nicht gefunden wird, versucht es über DNS-Devolution, Single-label.contoso.co.us aufzulösen. Wenn dies nicht gefunden wird, wird versucht, Single-label.co.us aufzulösen, der sich außerhalb der contoso.co.us befindet Standard.
Welche Auswirkungen haben die Abfragen außerhalb der Organisationsgrenze?
Die Auswirkungen variieren je nach Abfrage, die der Organisationsgrenze entweicht.
Alle Abfragen würden die internen IP-Adressen verfügbar machen. Netzwerkclients können Anmeldeinformationen mit dem bösartigen Server austauschen. Falls die Abfrage für einen WPAD-Server gilt, kann ein böswilliger Proxy auf den Clientcomputern festgelegt werden.
Ändert dieses Update mein aktuelles DNS-Devolution-Verhalten?
Ja. Das Update überprüft, was der Windows-Client tut Standard und schränkt DNS-Abfragen darauf ein Standard. Weitere Informationen und Beispiele für die Änderung des DNS-Devolutionsverhaltens finden Sie im Microsoft Knowledge Base-Artikel 957579.
Gibt es eine Änderung der Benutzererfahrung, nachdem dieses Update installiert wurde?
Ja. Nachdem das Update installiert wurde, führt der DNS-Resolver nur die Devolution auf einer Ebene basierend auf den Do Standard-Einstellungen des Windows-Clients durch, was potenziell alle Anwendungen oder Konfigurationen unterbricht, die auf diesem Verhalten basieren. Weitere Informationen zur Änderung des DNS-Devolutionsverhaltens finden Sie im Microsoft Knowledge Base-Artikel 957579.
Dies ist eine Sicherheitsempfehlung zu einem nicht sicherheitsrelevanten Update. Ist das kein Widerspruch?
Sicherheitsempfehlungen behandeln Sicherheitsänderungen, die möglicherweise kein Sicherheitsbulletin erfordern, sich aber dennoch auf die allgemeine Sicherheit des Kunden auswirken können. Sicherheitsempfehlungen sind eine Möglichkeit für Microsoft, sicherheitsrelevante Informationen an Kunden zu Problemen zu übermitteln, die möglicherweise nicht als Sicherheitsrisiken klassifiziert werden und kein Sicherheitsbulletin oder probleme erfordern, für die kein Sicherheitsbulletin veröffentlicht wurde. In diesem Fall kommunizieren wir die Verfügbarkeit eines Updates, das sich auf Ihre Fähigkeit auswirkt, nachfolgende Updates auszuführen, einschließlich Sicherheitsupdates. Daher behebt diese Empfehlung keine bestimmte Sicherheitslücke; stattdessen wird die Gesamtsicherheit behandelt.
Wie wird dieses Update angeboten?
Diese Updates sind im Microsoft Download Center verfügbar. Direkte Links zu den Updates für bestimmte betroffene Software sind in der Tabelle "Betroffene Software" im Abschnitt "Übersicht" aufgeführt. Weitere Informationen zum Update und zu den Verhaltensänderungen finden Sie im Microsoft Knowledge Base-Artikel 957579.
Wird dieses Update auf automatische Updates verteilt?
Nein Diese Updates werden nicht über den Mechanismus für automatische Updates verteilt. Die Updates sind nur im Microsoft Download Center verfügbar. Direkte Links zu den Updates für bestimmte betroffene Software sind in der Tabelle "Betroffene Software" im Abschnitt "Übersicht" aufgeführt.
Warum ist dies kein Sicherheitsupdate, das in einem Sicherheitsbulletin angekündigt wird?
Dies ist ein Konfigurationsproblem. DIE DNS-Devolution funktioniert wie beabsichtigt, und einige Kunden hängen möglicherweise von der DNS-Devolution ab, um Ressourcen aus ihrer Organisationsgrenze zu erreichen und sie als interne Ressourcen zu behandeln.
Warum wird dieses Update in einer Sicherheitsempfehlung angeboten?
Kunden wissen möglicherweise nicht, dass Windows-Clients in ihrer Umgebung Devolution verwenden. Devolution könnte es Clients ermöglichen, Systeme außerhalb ihrer Grenzen als interne Ressourcen zu behandeln, sodass sie wahrscheinlich Anmeldeinformationen aufgeben oder sich selbst für Sicherheitsrisiken im Informationsveröffentlichungstyp verfügbar machen.
Vorgeschlagene Aktionen
Problemumgehungen
Microsoft hat die folgenden Problemumgehungen getestet. Obwohl diese Problemumgehungen das zugrunde liegende Risiko nicht beheben, helfen sie, bekannte Angriffsvektoren zu blockieren. Wenn eine Problemumgehung die Funktionalität reduziert, wird sie im folgenden Abschnitt identifiziert.
Deaktivieren von DNS Devolution
Um die automatische DNS-Devolution zu deaktivieren, speichern Sie Folgendes in einer Datei mit einer . REG-Erweiterung und führen Sie dann regedit.exe /s <Dateinamen> über eine Eingabeaufforderung mit erhöhten rechten oder administrativen Rechten aus:
Hinweis: Weitere Informationen zum Registrierungswert UseDo Standard NameDevolution finden Sie im TechNet-Artikel "UseDo Standard NameDevolution".
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000
Damit die Änderungen wirksam werden, muss der DNS-Clientdienst beendet und erneut gestartet werden. Dies kann über eine Eingabeaufforderung mit erhöhten oder administrativen Rechten mithilfe des folgenden Befehls erreicht werden:
net stop dnscache & net start dnscache
Auswirkungen der Problemumgehung: Der DNS-Resolver führt keine Devolution durch, was potenziell anwendungen oder Konfigurationen unterbricht, die auf diesem Verhalten basieren. Anwendungen, die ihre eigene Form der Devolution durchführen, sind von dieser Einstellung nicht betroffen.
Konfigurieren einer Do Standard Suffix-Suchliste
Um eine Do Standard Suffix-Suchliste zu erstellen, speichern Sie Folgendes in einer Datei mit einer . REG-Erweiterung und führen Sie dann regedit.exe /s <Dateinamen> über eine Eingabeaufforderung mit erhöhten rechten oder administrativen Rechten aus:
Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific="specific" search="search" list="list">
Hinweis: Windows Server 2003 enthält die Möglichkeit, die Do Standard Suffix-Suchliste über Gruppenrichtlinien zu verteilen. Weitere Informationen finden Sie unter Microsoft Knowledge Base 294785 im Abschnitt "DNS-Suffix-Suchliste" .
Auswirkungen der Problemumgehung: Wenn eine Do Standard Suffixsuchliste auf Clientsystemen konfiguriert ist, wird nur diese Suffixliste in DNS-Abfragen verwendet. Das primäre DNS-Suffix und alle verbindungsspezifischen DNS-Suffixe werden nicht verwendet. Der DNS-Resolver führt keine Devolution durch und unterbricht möglicherweise keine Anwendungen oder Konfigurationen, die auf diesem Verhalten basieren.
Sonstige Informationen
Ressourcen:
- Sie können Feedback geben, indem Sie das Formular ausfüllen, indem Sie die folgende Website besuchen.
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie auf der Microsoft-Hilfe- und Supportwebsite.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zum Kontaktieren von Microsoft für internationale Supportprobleme finden Sie auf der Website für den internationalen Support.
- Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss:
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen:
- V1.0 (9. Juni 2009): Empfehlung veröffentlicht.
Gebaut am 2014-04-18T13:49:36Z-07:00