¿Cuál es el alcance de este documento informativo?
Este documento informativo proporciona la notificación de que hay disponibles actualizaciones que ayudan a definir un límite organizativo de los sistemas que están unidos a un dominio, pero no tienen configurada una lista de sufijos DNS. Hay disponibles actualización para el software enumerado en la sección Descripción general.
¿Qué es un dominio de nivel superior (TLD)?
El dominio de nivel superior (TLD) es la última parte de un nombre de dominio de Internet. Son las letras que van después del punto final de cualquier nombre de dominio. Por ejemplo, en el nombre de dominio wpad.western.corp.contoso.co.us, el dominio de nivel superior es ".us". Los dominios de nivel superior se pueden dividir principalmente en dos tipos: código de país y genéricos. Los dominios de nivel superior de código de país son abreviaturas de dos letras para cada país. En este ejemplo .us corresponde a Estados Unidos. Los dominios de nivel superior genéricos son las abreviaturas de tres (o más) letras reconocidas tradicionalmente, como .com, .net, .org, etc. Para obtener una lista completa de todos los dominios de nivel superior disponibles, consulte la siguiente lista en IANA.
¿Qué es un sufijo DNS principal (PDS)?
Se trata del nombre de dominio anexado a la derecha del nombre de host de etiqueta única de un equipo. Un nombre de dominio completo (FQDN) se puede definir como <nombre de host>.<sufijo DNS principal>. De forma predeterminada, la parte del sufijo DNS principal de un FQDN de un equipo es la misma que el nombre del dominio de Active Director al que está unido el equipo. No obstante, el sufijo DNS principal de un equipo puede ser diferente del dominio DNS al que está unido cuando se configura a través del cuadro de diálogo Propiedades desde Mi PC.
¿Qué es un dominio de segundo nivel (SLD)?
Un dominio de segundo nivel (SLD) es un dominio situado directamente "debajo" o a la izquierda del TLD. En el ejemplo anterior, wpad.western.corp.contoso.co.us, el dominio de segundo nivel es ".co". El registro más habitual de los dominios de segundo nivel es bajo el dominio de nivel superior. En Estados Unidos el dominio de segundo nivel se usa principalmente para el registro de los estados, como ".co.us" para el estado de Colorado, por ejemplo. Los dominios de segundo nivel que no son de EE. UU. reutilizan los nombres de dominio de nivel superior habituales como ".com.sg".
¿En qué consiste la característica de devolución DNS?
La devolución es una característica de cliente DNS de Windows. La devolución es el proceso por el que los clientes DNS de Windows resuelven las consultas DNS para los nombres de host de una sola etiqueta e incompletos. Las consultas se elaboran mediante la anexación del sufijo DNS principal al nombre de host. La consulta se reintenta mediante la eliminación sistemática de la etiqueta situada más a la izquierda en el sufijo DNS principal hasta que se resuelve el nombre de host y el sufijo DNS principal restante o sólo quedan dos etiquetas en el sufijo DNS principal. Por ejemplo, los clientes de Windows que buscan "Single-label" en el dominio western.corp.contoso.co.us consultarán progresivamente Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us y, finalmente, Single-label.co.us hasta que se resuelva un sistema. Este proceso se denomina devolución. Para obtener información adicional acerca del servicio de cliente DNS y la devolución, vea la sección acerca de la resolución de nombres para nombres de dominio de una sola etiqueta e incompletos en el artículo de TechNet, Aspectos básicos de TCP/IP para Microsoft Windows, capítulo 9: Compatibilidad de Windows para DNS.
¿Qué provoca este riesgo?
Un usuario malintencionado podría hospedar un sistema con un nombre de una sola etiqueta fuera de los límites de una organización y, gracias a la devolución DNS, conseguir que un cliente DNS de Windows se conectara a él como si estuviera dentro de los límites de la organización. Por ejemplo, si el sufijo DNS de una empresa es corp.contoso.co.us y se intenta resolver un nombre de host incompleto de "Single-Label", la resolución DNS intentará Single-Label.corp.contoso.co.us. Si no lo encuentra, intentará, a través de devolución DNS, resolver Single-label.contoso.co.us. Si no lo encuentra, intentará resolver Single-label.contoso.co.us, que está fuera del dominio contoso.co.us.
¿Cuáles son las implicaciones de las consultas que salen del límite organizativo?
Las implicaciones varían según la consulta que salga del límite de la organización.
Todas consultas expondrían direcciones IP internas. Los clientes de red pueden intercambiar credenciales con el servidor malintencionado. En el caso de que la consulta sea para un servidor WPAD, se puede establecer un proxy malintencionado en los equipos cliente.
¿Esta actualización cambia el comportamiento de devolución DNS actual?
Sí. La actualización comprueba cuál es el dominio del cliente de Windows y limita las consultas a dicho dominio. Para obtener más información y ejemplos del cambio del comportamiento de la devolución DNS, vea el artículo 957579 de Microsoft Knowledge Base.
¿Existe un cambio en la experiencia de usuario después de instalar esta actualización?
Sí. Después de instalar la actualización, la resolución DNS sólo efectuará la devolución en un nivel basado en la configuración de dominio del cliente de Windows, lo que posiblemente interrumpirá las aplicaciones o configuraciones que se basan en este comportamiento. Para obtener más información del cambio del comportamiento de la devolución DNS, vea el artículo 957579 de Microsoft Knowledge Base.
Es un documento informativo sobre seguridad acerca de una actualización no relacionada con la seguridad ¿No es contradictorio?
Los documentos informativos sobre seguridad tratan cambios en la seguridad que pueden no requerir un boletín de seguridad pero que pueden afectar a la seguridad general de los clientes. Los documentos informativos sobre seguridad constituyen una forma que tiene Microsoft para comunicar información relacionada con la seguridad a los clientes acerca de problemas que no se pueden clasificar como vulnerabilidades y pueden no requerir un boletín de seguridad, o acerca de problemas para los que no se ha publicado ningún boletín de seguridad. En este caso, se comunica la disponibilidad de una actualización que afecta a la capacidad de realizar actualizaciones posteriores, incluidas las actualizaciones de seguridad. Por lo tanto, este documento informativo no corrige una vulnerabilidad de seguridad específica, sino, la seguridad general.
¿Cómo se ofrece esta actualización?
Estas actualizaciones están disponibles en el Centro de descarga de Microsoft. En la tabla Software afectado de la sección Descripción general se enumeran los vínculos directos a las actualizaciones del software afectado específico. Para obtener más información acerca de la actualización y los cambios de comportamiento, vea el artículo 957579 de Microsoft Knowledge Base.
¿Esta actualización se distribuye en una actualización automática?
No. Estas actualizaciones no se distribuyen por el mecanismo de actualizaciones automáticas. Las actualizaciones sólo están disponibles en el Centro de descarga de Microsoft. En la tabla Software afectado de la sección Descripción general se enumeran los vínculos directos a las actualizaciones del software afectado específico.
¿Por qué no es una actualización de seguridad anunciada en un boletín de seguridad?
Se trata de un problema de configuración. La devolución DNS funciona del modo previsto y algunos clientes pueden depender de ella para obtener acceso de forma legítima a activos que están fuera de su límite organizativo y tratarlos como activos internos.
¿Por qué se ofrece esta actualización en un documento informativo sobre seguridad?
Los clientes pueden no saber que los clientes de Windows de su entorno usan la devolución. La devolución podría permitir a los clientes tratar los sistemas fuera de su límite como activos internos y, de ese modo, podrían dar credenciales o exponerse a vulnerabilidades de divulgación de información.
