安装 DNS 服务器的安全更新后 DNS 服务器行为所发生的更改

文章翻译 文章翻译
文章编号: 968732 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

安装 DNS 服务器安全更新后服务器计算机上的安装后行为

此知识库文章旨在指导用户了解即将对 DNS 服务器功能进行的更改所影响的方案。我们尽最大努力使此文档常规化。请通读本文,以便了解您的企业环境是否受此更新的影响以及受影响的情况。

有关 DNS 服务器安全更新的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
961063 MS09-008:DNS 服务器安全更新的说明:2009 年 3 月 10 日

更多信息

定义表

收起该表格展开该表格
术语定义
域名系统 (DNS)域名系统是将名称转换为 IP 地址(反之亦然)的 Internet 标准协议。
WPADWeb 代理自动发现协议
ISATAP站内自动隧道寻址协议

安全问题概述

Internet Explorer 和类似客户端通过使用 Web 代理自动发现协议 (WPAD) 搜索代理服务器。客户端计算机通过解析名称 WPAD 和使用 DNS 查找 WPAD 服务器。ISATAP(站内自动隧道寻址协议)是一种 IPv6 转换技术。DNS 客户端执行 ISATAP 发现,这类似于用于 WPAD 的方法。 公司网络内 WPAD 或 ISATAP 项的恶意注册会允许攻击者配置恶意代理。此安全问题具有替代方法。例如,您可以在 DNS 数据库中注册保留名称主机项。管理员必须在未注册 IP 地址的情况下注册主机名,这样才能保留名称主机项。

应用安全更新后 DNS 所发生的更改

在您应用 DNS 安全更新后,DNS 将会发生下列更改:
  • 该安全更新将自动创建由 DNS 使用的阻止列表。将针对阻止列表检查每个名称查询请求,并会向列表中阻止的名称查询发送否定响应。
  • 阻止列表默认情况下依赖运行更新时服务器对其具有权威性的区域中的数据。如果区域数据不包含 WPAD 或 ISATAP 项,则在阻止列表中填充 WPAD 或 ISATAP 项。
  • 如果 DNS 数据库已经具有其中的任意项,则不会在阻止列表中填充 WPAD 或 ISATAP 项。
  • 管理员可以在注册表中配置和编辑该阻止列表。必须重新启动 DNS 服务才能接受新的阻止列表。
  • 对于 DNS,阻止列表适用于服务器承载的所有区域。您无法在一个区域中允许 WPAD 和 ISATAP 查询,而在另一个区域中却不允许这些查询。
  • 注册表中存储了每个服务器的阻止列表。多个服务器之间没有重复的阻止列表项。

常见问题解答

  1. 如果我将 DNS 服务器升级到 LH 服务器会发生什么情况?
    答:使用 WPAD 和 ISATAP 有效项的 DNS 服务器将仍与以前一样正常工作。
  2. 阻止列表的注册表项位置是什么?
    答: 阻止列表使用下列子项中的 GlobalQueryBlockList REG_MULTI_SZ 项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. 如果我删除了注册表中的阻止列表项,该怎么办?
    答:重新启动服务后,所有对 WPAD 和 ISATAP 的查询都将成功。
  4. 如果删除 GlobalQueryBlockList 注册表项,会发生什么情况?
    答复:重新启动服务后,将重新添加回注册表项,并会重新填充默认的阻止列表值。所有非 TXT WPAD 和 ISATAP 查询都将被阻止。
  5. 如果我将“contoso”项添加到注册表的阻止列表中,该怎么办?
    答:在阻止列表中添加该项后只要重新启动服务,任何区域中的所有 contoso 查询都将失败。
  6. 如果我在 DNS 数据库中已经具有 contoso 项,并且也在阻止列表中添加了 contoso,将会发生什么情况?
    答:对“contoso.myzone.com”的查询将失败。
  7. 我已在网络中部署了 WPAD 服务器。是否会受到影响?
    答:不会。如果您已在网络中部署了 WPAD,并且也已在 DNS 中注册了名称 WPAD,则将不会受到阻止。但是,如果您在网络中具有 WPAD,且它使用 DHCP 分发 wpad.dat 文件而 DNS 中没有任何项,则将会阻止 WPAD 的 DNS 查询。
  8. 我可以使用 DNSCMD.exe 配置阻止列表吗?
    答:不可以。您只能更改注册表中的阻止列表。
  9. 阻止项在 DNS 服务器中会注册失败吗?
    答:不会。作为阻止列表功能的一部分,注册将会成功。只有阻止项的查询会失败。
  10. 仅主机(类型 A 或 AAAA)查询会被此功能阻止吗?
    答:不是,阻止列表中所有类型的名称查询都会被阻止。

属性

文章编号: 968732 - 最后修改: 2010年1月18日 - 修订: 4.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Service Pack 1?当用于
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2?当用于
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Service Pack 4?当用于
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
关键字:?
kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB968732
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com