“允许将 DNS 后缀附加到不合格的多标签名称查询”设置的安全隐患是什么?

“允许将 DNS 后缀附加到不合格的多标签名称查询”设置的安全隐患是什么?

组策略Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries是在 Windows Vista 中引入的,用于阻止针对域后缀进行测试的子域的行为,例如:

ping example会检查example,而且example.mydnssuffix.local,但是ping example.tld会检查example.tld,但不会example.tld.mydnssuffix.local

由于默认情况下禁用此功能,我认为启用此功能会涉及安全隐患。有人知道这些安全隐患是什么吗?

答案1

如果 DNS 客户端花费更多时间将后缀附加到模糊名称并重试搜索,则在放弃之前会花费更长时间。这可能会导致执行大量 DNS 查询的应用程序速度显著下降。

如果 DNS 客户端错误地解析了受外部恶意实体控制的名称,也会产生安全问题。附加 DNS 后缀基本上与权力下放相反,权力下放也会带来类似的问题。我将从 Windows IT Pro 网站复制示例(该网站主要介绍权力下放,但也适用于附加后缀):

已加入域的计算机的主域后缀是 mycompany.fl.us(mycompany 位于佛罗里达州,因此扩展名为 fl.us),并尝试连接到 mailserver1。在此示例中,DNS 客户端将尝试解析 mailserver1.mycompany.fl.us 和 mailserver1.fl.us。此列表中的最后一个名称 mailserver1.fl.us 不在我的公司控制范围内。如果恶意用户已在 DNS 中注册 mailserver1.fl.us,则名称解析将成功,已加入域的计算机将尝试连接到它,并且恶意用户可以欺骗内部服务器。

那么为什么要启用它呢?您可能希望为 DNS 客户端提供额外的灵活性,希望能够解析模糊名称。但理论上,这可能会导致安全问题。因此,由管理员决定哪种方式更适合其环境。

进一步阅读:

http://blogs.technet.com/b/networking/archive/2009/04/16/dns-client-name-resolution-behavior-in-windows-vista-vs-windows-xp.aspx

和:

http://windowsitpro.com/networking/whats-dns-name-devolution

相关内容