搜尋此網誌

2010年6月25日 星期五

IE 如果開啟連線-->區域網路設定-->自動偵測設定打勾得話可能會造成無謂的網路流量(WPAD)

如果在AD環境中沒有架設proxy server上網得話,請勿將IE(或其它browser) 連線-->區域網路設定-->自動偵測設定選項打勾,因為其會造成無謂的網路流量而且可能會有安全的問題。

情境如下
企業環境中有架AD、無Proxy servr、Domain=abc.com.tw、自動偵測設定選項打勾

因為IE browser支授WPAD,所以當開IE時,其自動找wpad.abc.com.tw,如果沒有就會去找wpad.com.tw,如此就會產生連出去的無謂的網路流量。

解法:自動偵測設定選項不要打勾就好。

微軟的幾項建議措施:
• 未設定主要DNS尾碼的使用者不受此問題影響
• DNS名稱為第二級網域(SLD)者不受影響,例如:contoso.com、fabrikam.gov這些。(三級含以上就會)
• 透過DHCP取得代理伺服器設定值的使用者不受影響。
• 單位內已經存在並使用正常的WPAD伺服器者不受影響。
• 在IE中手動設定代理伺服器者不受影響。
• 使用IE上網,且在IE中關閉'自動偵測設定'者不受影響。

 
詳細說明如下:引述自http://www.itis.tw/node/1295

新聞來源: 資安之眼

隨著Windows被爆出解析主機名稱時未包含完整名稱(FQDN)的問題,微軟發佈了一個安全警告回應相關問題及提供發佈修補前的措施。

在駭客Beau Butler於紐西蘭Kiwicon 2007大會上爆料的兩週後,微軟才發佈了這個警告。

在微軟的警告中提到:

惡意使用者可以架設一台WPAD伺服器並偽裝為代理伺服器,藉此針對那些次級網域發動中間人攻擊(man-in-the-middle attacks)。當使用者設定了主要的DNS尾碼時(DNS suffix),Windows的解析器會嘗試利用所有次網域進行解析。舉例來說,如果DNS尾碼為corp.contoso.co.us,當試著解析 wpad名稱時,DNS解析器會送出wpad.corp.contoso.co.us ,如果找不到,接著會嘗試wpad.contoso.co.us請求,如果還是找不到,接著會嘗試wpad.co.us,即使它不屬於 contoso.co.us網域。
這個問題影響Windows 2000、Windows XP,、Windows Server 2003及Windows Vista的使用者,此外也與包括IE7在內的所有版本IE有關。
在Kiwicon 2007大會上,Butler提到WPAD是一個存在三年的設計問題,微軟僅修正了.com網域的部份,但仍留下了次網域及其他主機名稱的問題。
微軟的警告中同時提到了影響範圍及幾項建議措施:
• 未設定主要DNS尾碼的使用者不受此問題影響
• DNS名稱為第二級網域(SLD)者不受影響,例如:contoso.com、fabrikam.gov這些。(三級含以上就會)
• 透過DHCP取得代理伺服器設定值的使用者不受影響。
• 單位內已經存在並使用正常的WPAD伺服器者不受影響。
• 在IE中手動設定代理伺服器者不受影響。
使用IE上網,且在IE中關閉'自動偵測設定'者不受影響。

沒有留言:

張貼留言