Poradnik zabezpieczeń firmy Microsoft 971888

Aktualizacja dotycząca dewolucji DNS

Opublikowano: 9 czerwca 2009

Wersja: 1.0

Firma Microsoft informuje o dostępności aktualizacji dotyczącej dewolucji DNS, która ułatwia klientom zabezpieczenie systemów. Klienci, których domena ma trzy lub więcej etykiet, na przykład „contoso.co.us”, którzy nie mają skonfigurowanej listy sufiksów DNS lub do których nie mają zastosowania podane niżej czynniki ograniczające zagrożenie, mogą nieświadomie zezwalać na to, aby systemy klienckie traktowały systemy poza granicami organizacji tak, jakby znajdowały się one wewnątrz tych granic.

Czynniki ograniczające zagrożenie:

  • Ryzyko nieumyślnego traktowania systemów zewnętrznych jak wewnętrznych nie dotyczy klientów przyłączonych do domeny, w których systemach skonfigurowano listę wyszukiwania sufiksów DNS. Firma Microsoft zachęca wszystkich klientów biznesowych do skonfigurowania listy wyszukiwania sufiksów DNS na systemach klienckich, tak aby kwerendy DNS nie przekraczały granic firmy.
  • Użytkownicy domowi, którzy nie są członkami domeny, zazwyczaj nie używają dewolucji DNS i z tego powodu nie są narażeni na to ryzyko. Jednak użytkownicy domowi, którzy nie są członkami domeny, ale mają skonfigurowany sufiks podstawowej domeny DNS, używają dewolucji DNS i są zagrożeni nieumyślnym traktowaniem systemów zewnętrznych jak systemów wewnętrznych.
  • Klienci, których nazwa domeny DNS składa się z dwóch etykiet, nie są wystawieni na to ryzyko. Przykładami klientów, których nie dotyczy luka, są domeny contoso.com lub fabrikam.gov, w których nazwy „contoso” i „fabrikam” to zarejestrowane przez klientów nazw domen pod domenami najwyższego poziomu, odpowiednio „.com” i „.gov”.

Informacje ogólne

Przegląd

Cel poradnika: Przedstawienie wyjaśnień i powiadomienie o dostępności aktualizacji niezwiązanej z zabezpieczeniami, która może pomóc klientom w zachowaniu bezpieczeństwa systemów.

Status poradnika: Opublikowano artykuł w bazie wiedzy Microsoft Knowledge Base oraz odpowiednie aktualizacje.

Zalecenie: Przeczytać wymieniony artykuł bazy wiedzy Knowledge Base i zainstalować odpowiednie aktualizacje.

Materiały pomocnicze Identyfikacja
Artykuł w bazie wiedzy Microsoft Knowledge Base 957579

Niniejszy poradnik dotyczy następującego oprogramowania.

Programy, których dotyczy problem
Microsoft Windows 2000 z dodatkiem Service Pack 4
Windows XP z dodatkiem Service Pack 2 i Windows XP z dodatkiem Service Pack 3
Windows XP Professional x64 Edition z dodatkiem Service Pack 2
Windows Server 2003 z dodatkiem Service Pack 2
Windows Server 2003 x64 Edition z dodatkiem Service Pack 2
Windows Server 2003 z dodatkiem SP2 dla systemów z procesorem Itanium
Windows Vista, Windows Vista z dodatkiem Service Pack 1 i Windows Vista z dodatkiem Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition z dodatkiem Service Pack 1 i Windows Vista x64 Edition z dodatkiem Service Pack 2
Windows Server 2008 dla systemów 32-bitowych i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów 32-bitowych
Windows Server 2008 dla systemów z procesorem x64 i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem x64
Windows Server 2008 dla systemów z procesorem Itanium i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem Itanium

Często zadawane pytania

Jaki zakres obejmuje poradnik?
Poradnik powiadamia, że dostępne są aktualizacje ułatwiające określanie granic organizacji dla systemów, które są przyłączone do domeny, ale nie mają skonfigurowanej listy sufiksów DNS. Aktualizacje dostępne są dla programów, które wymieniono w sekcji Przegląd.

Co to jest domena najwyższego poziomu?
Domena najwyższego poziomu to ostatni człon nazwy domeny internetowej. Są to litery następujące po ostatniej kropce każdej nazwy domeny. Na przykład w nazwie domeny wpad.western.corp.contoso.co.us domena najwyższego poziomu to „.us”. Domeny najwyższego poziomu dzielą się zasadniczo na dwa typy: krajowe i funkcjonalne. Krajowe domeny najwyższego poziomu to dwuliterowe skróty nazw poszczególnych krajów. W podanym przykładzie .us oznacza United States (Stany Zjednoczone). Funkcjonalne domeny najwyższego poziomu to lepiej rozpoznawalne trójliterowe lub dłuższe skróty, takie jak .com, .net, .org, itd. Pełna lista dostępnych domen najwyższego poziomu dostępna jest w witrynie IANA.

Co to jest sufiks podstawowej domeny DNS?
Jest to nazwa domeny dopisywana do końca nazwy hosta komputera o jednej etykiecie. W pełni kwalifikowaną nazwę domeny (FQDN) można zdefiniować jako <nazwa_hosta>.<sufiks_podstawowej_domeny_DNS>. Domyślnie część nazwy FQDN komputera będąca sufiksem podstawowej domeny DNS jest taka sama, jak nazwa domeny Active Directory, do której przyłączony jest komputer. Sufiks podstawowej domeny DNS komputera może jednak różnić się od nazwy domeny DNS, do której jest on przyłączony, gdy zostanie skonfigurowany przy użyciu okna dialogowego Właściwości w aplecie Mój komputer.

Co to jest domena drugiego poziomu?
Domena drugiego poziomu to domena znajdująca się bezpośrednio „poniżej” lub na lewo od domeny najwyższego poziomu. W poprzednim przykładzie, wpad.western.corp.contoso.co.us, domeną drugiego poziomu jest „.co”. Najbardziej typowa rejestracja domeny drugiego poziomu to rejestracja pod domeną krajową. W Stanach Zjednoczonych domeny drugiego poziomu najczęściej wykorzystywane są dla rejestracji stanów, na przykład „.co.us” dla stanu Kolorado. Poza Stanami Zjednoczonymi w domenach drugiego poziomu często wykorzystywane są typowe domeny najwyższego poziomu, na przykład w „.com.sg”.

Za co odpowiada funkcja dewolucji DNS?
Dewolucja to funkcja klienta DNS systemu Windows. Dewolucja to proces, przy użyciu którego system klienty DNS systemu Windows rozwiązują kwerendy DNS dla niekwalifikowanych nazw hostów o jednej etykiecie. Kwerendy tworzone są poprzez dodanie sufiksu podstawowej domeny DNS do nazwy hosta. Kwerendy są powtarzane poprzez systematyczne usuwanie skrajnej lewej etykiety sufiksu podstawowej domeny DNS, aż zostanie uzyskana nazwa hosta + pozostający sufiks podstawowej domeny DNS lub w skróconym w ten sposób sufiksie podstawowej domeny DNS pozostaną tylko dwie etykiety. Przykładowo, klienty systemu Windows szukające „pojedynczej etykiety” w domenie western.corp.contoso.co.us będą pytać kolejno o pojedyncza_etykieta.western.corp.contoso.co.us, pojedyncza_etykieta.corp.contoso.co.us, pojedyncza_etykieta.contoso.co.us i wreszcie pojedyncza_etykieta.co.us, aż zostanie znaleziony rozpoznany system. Ten proces określa się mianem dewolucji. Aby uzyskać więcej informacji na temat usługi klienta DNS i dewolucji, zobacz sekcję Rozpoznawanie nazw w przypadku niekwalifikowanych nazw domen o jednej etykiecie w artykule Podstawowe informacje na temat TCP/IP dla Microsoft Windows, rozdział 9 — obsługa DNS przez system Windows ()j. ang.) w witrynie TechNet

Co powoduje zagrożenie?
Złośliwy użytkownik może udostępniać system o nazwie z jedną etykietą znajdujący się poza granicami organizacji i z powodu dewolucji DNS może doprowadzić do tego, że klient DNS systemu Windows połączy się z jego systemem tak, jakby był to system w granicach organizacji. Na przykład, jeśli sufiks DNS przedsiębiorstwa to corp.contoso.co.us i podjęta zostanie próba rozpoznania niekwalifikowanej nazwy „pojedyncza_etykieta”, program rozpoznawania nazw DNS sprawdzi pojedyncza_etykieta.corp.contoso.co.us. Jeśli nazwa ta nie zostanie znaleziona, poprzez dewolucję DNS program spróbuje rozpoznać pojedyncza_etykieta.contoso.co.us. Jeśli nazwa ta również nie zostanie znaleziona, program spróbuje rozpoznać nazwę pojedyncza_etykieta.co.us, która jest poza domeną contoso.co.us.

Jakie mogą być następstwa wychodzenia kwerend poza granice organizacji?
Możliwe następstwa zależą od kwerendy, która wychodzi poza granice organizacji.

Wszystkie kwerendy ujawnią wewnętrzne adresy IP. Klienty sieciowe mogą wymieniać poświadczenia ze złośliwym serwerem. Jeśli kwerenda dotyczy serwera WPAD, w komputerach klienckich może zostać ustawiony złośliwy serwer proxy.

Czy aktualizacja zmieni aktualny sposób działania dewolucji DNS?
Tak. Aktualizacja sprawdza, jaka jest domena klienta systemu Windows i ogranicza kwerendy DNS do tej domeny. Więcej informacji oraz przykłady zmian w działaniu dewolucji DNS można znaleźć w artykule 957579 bazy wiedzy Microsoft Knowledge Base.

Czy zainstalowanie tej aktualizacji wpływa na sposób obsługi systemu?
Tak. Po zainstalowaniu tej aktualizacji program rozpoznawania nazw DNS będzie przeprowadzać dewolucję tylko do poziomu bazującego na ustawieniach domeny klienta Windows, potencjalnie uniemożliwiając działanie wszystkich aplikacji i konfiguracji, które opierają się na tym zachowaniu. Więcej informacji na temat zmian w działaniu dewolucji DNS można znaleźć w artykule 957579 bazy wiedzy Microsoft Knowledge Base.

Ten poradnik zabezpieczeń dotyczy aktualizacji niezwiązanej z zabezpieczeniami. Czy nie ma w tym sprzeczności?
Poradniki zabezpieczeń dotyczą zmian w dziedzinie zabezpieczeń, które mogą nie wymagać biuletynu zabezpieczeń, lecz mimo to wpływać na ogólne bezpieczeństwo klienta. Poradniki zabezpieczeń są sposobem, w jaki firma Microsoft przekazuje klientom informacje związane z bezpieczeństwem dotyczące problemów, które mogą nie zostać zakwalifikowane jako luki w zabezpieczeniach i nie wymagać biuletynu zabezpieczeń, a także problemów, dla których biuletyny zabezpieczeń nie zostały opublikowane. W omawianym przypadku firma Microsoft informuje o dostępności aktualizacji, która wpływa na zdolność przeprowadzania kolejnych aktualizacji, w tym także aktualizacji zabezpieczeń. Z tego powodu poradnik dotyczy raczej ogólnego bezpieczeństwa, niż określonej luki w zabezpieczeniach.

Jak będzie oferowana ta aktualizacja?
Aktualizacje są dostępne w witrynie Microsoft Download Center. Bezpośrednie łącza do aktualizacji przeznaczonych dla określonych rodzajów zagrożonego oprogramowania można znaleźć w tabeli Programy, których dotyczy problem w sekcji Przegląd. Więcej informacji o tej aktualizacji i zmianach zachowania można znaleźć w artykule 957579 bazy wiedzy Microsoft Knowledge Base.

Czy ta aktualizacja będzie rozpowszechniana za pośrednictwem funkcji Aktualizacje automatyczne?
Nie. Te aktualizacje nie będą rozpowszechniane za pośrednictwem mechanizmu aktualizacji automatycznych. Są one dostępne wyłącznie w witrynie Microsoft Download Center. Bezpośrednie łącza do aktualizacji przeznaczonych dla określonych rodzajów zagrożonego oprogramowania można znaleźć w tabeli Programy, których dotyczy problem w sekcji Przegląd.

Dlaczego nie jest to aktualizacja zabezpieczeń, o której informuje się w biuletynie zabezpieczeń?
Omawiany problem dotyczy konfiguracji. Funkcja dewolucji DNS działa zgodnie z zamierzeniami, a niektórzy klienci mogą wykorzystywać ją do uprawnionego korzystania z zasobów znajdujących się poza granicami organizacji tak, jakby były zasobami wewnętrznymi.

Dlaczego ta aktualizacja jest oferowana w ramach poradnika zabezpieczeń?
Użytkownicy mogą nie wiedzieć, że klienty systemu Windows w ich środowisku korzystają z dewolucji. Dzięki dewolucji możliwe jest traktowanie systemów spoza granic organizacji jako zasobów wewnętrznych, i dlatego prawdopodobne jest ujawnianie poświadczeń przez klienty lub wystawianie się przez nie na skutki luk w zabezpieczeniach związanych z ujawnianiem informacji.

Zalecane czynności

Obejścia

Firma Microsoft przetestowała następujące obejścia. Nie spowodują one wyeliminowania samego zagrożenia, jednak przyczynią się do zablokowania znanych kierunków ataków. W poniższej sekcji przedstawiono przypadki, w których zastosowanie obejścia zmniejsza funkcjonalność systemu.

Wyłączenie dewolucji DNS

Aby wyłączyć automatyczną dewolucję DNS, zapisz poniższe dane jako plik z rozszerzeniem .REG i z podniesionymi uprawnieniami lub uprawnieniami administratora uruchom z wiersza polecenia polecenie regedit.exe /s <nazwa_pliku>:

Uwaga Więcej informacji o wartości rejestru UseDomainNameDevolution można znaleźć w artykule UseDomainNameDevolution (j. ang.) w witrynie TechNet.

Windows Registry Editor Version 5.00  
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]  
"UseDomainNameDevolution"=dword:00000000

Aby zmiany odniosły skutek, należy zatrzymać i ponownie uruchomić usługę klienta DNS. Można to zrobić z wiersza polecenia, mając podniesione uprawnienia lub uprawnienia administratora, przy użyciu następującego polecenia:

net stop dnscache & net start dnscache

Wpływ obejścia: Program rozpoznawania nazw DNS nie będzie przeprowadzać dewolucji, potencjalnie uniemożliwiając działanie wszystkich aplikacji i konfiguracji, które opierają się na tym zachowaniu. Ustawienie nie będzie mieć wpływu na aplikacje wykonujące własny rodzaj dewolucji.

Skonfigurowanie listy wyszukiwania sufiksów domeny

Aby utworzyć listę wyszukiwania sufiksów domeny, zapisz następujące dane jako plik z rozszerzeniem .REG i z podniesionymi uprawnieniami lub uprawnieniami administratora uruchom z wiersza polecenia polecenie regedit.exe /s <nazwa_pliku>:

Windows Registry Editor Version 5.00  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters  
"SearchList"=<domain specific search list>

Uwaga System Windows Server 2003 oferuje możliwość dystrybucji listy wyszukiwania sufiksów domeny za pośrednictwem Zasad grupy. Aby uzyskać więcej informacji, patrz artykuł 294785 bazy wiedzy Microsoft Knowledge Base w sekcji DNS Suffix Search List.

Wpływ obejścia: Po skonfigurowaniu listy wyszukiwania sufiksów domeny w systemach klientów tylko ta lista będzie wykorzystywana w zapytaniach DNS. Nie będą wykorzystywane sufiksy podstawowej domeny DNS ani sufiksy DNS specyficzne dla połączenia. Program rozpoznawania nazw DNS nie będzie przeprowadzać dewolucji, potencjalnie uniemożliwiając działanie wszystkich aplikacji i konfiguracji, które opierają się na tym zachowaniu.

Other Information

Zasoby:

Zrzeczenie odpowiedzialności:

Informacje zawarte w tym poradniku są dostarczane „tak jak są”, bez jakiejkolwiek gwarancji. Firma Microsoft odrzuca wszelkie gwarancje, wyraźne i dorozumiane, w tym gwarancje dotyczące wartości handlowej i przydatności do określonego celu. Firma Microsoft Corporation ani jej dostawcy w żadnym wypadku nie ponoszą odpowiedzialności za jakiekolwiek szkody, w tym bezpośrednie, pośrednie, przypadkowe, wynikowe, utratę zysków handlowych lub szkody specjalne, nawet jeżeli firmę Microsoft Corporation lub jej dostawców powiadomiono o możliwości zaistnienia takich szkód. W niektórych stanach wyłączenie lub ograniczenie odpowiedzialności za straty wynikowe lub przypadkowe, a więc i powyższe ograniczenia, nie mają zastosowania.

Wersje:

  • Wersja 1.0 (9 czerwca 2009 r.): Poradnik opublikowany.

Built at 2014-04-18T01:50:00Z-07:00