Come impedire gli accessi non autorizzati alla cache DNS

Traduzione articoli Traduzione articoli
Identificativo articolo: 241352 - Visualizza i prodotti a cui si riferisce l?articolo.
IMPORTANTE: in questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, eseguire una copia di backup e assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Gli accessi non autorizzati alla cache DNS possono verificarsi se viene riscontrato lo spoofing del DNS (Domain Name System). Il termine "spoofing" descrive l'invio di dati non protetti in risposta a una query DNS. Questo sistema permette di reindirizzare le query a un server DNS inaffidabile e può rivelarsi dannoso.

Nota Se un server DNS è stato configurato per inoltrare le richieste di risoluzione a un altro server, stabilendo una relazione figlio-padre, il server DNS figlio potrebbe ancora essere vulnerabile agli attacchi di accessi non autorizzati alla cache DNS eseguiti verso un server DNS padre, se in tale server non è attiva la protezione dagli accessi non autorizzati alla cache DNS. In base all'impostazione predefinita, nei server Microsoft DNS in cui è installato Windows 2000 Service Pack 3 o versione successiva, il ruolo di padre in una relazione figlio-padre consente una protezione completa dagli accessi non autorizzati alla cache. Per questo motivo è consigliabile accertarsi che in tutti i server DNS di un'organizzazione questo tipo di protezione per la cache DNS sia attiva.

Informazioni

AVVISO: l'errato utilizzo dell'editor del Registro di sistema può causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema è a rischio e pericolo dell'utente.

Windows NT 4.0

In Windows NT 4.0 Service Pack 4 (SP4) o versione successiva un server DNS basato su Windows NT può filtrare le risposte per questi record non protetti.

Per attivare questa funzionalità:
  1. Avviare l'editor del Registro di sistema (Regedt32.exe).
  2. Individuare la seguente chiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. Scegliere Aggiungi valore dal menu Modifica e aggiungere il seguente valore del Registro di sistema:
    Nome valore: SecureResponses
    Tipo dati: REG_DWORD
    Valore: 1 (Per eliminare dati non protetti)
  4. Chiudere l'editor del Registro di sistema.
In base all'impostazione predefinita, questa chiave non esiste e i dati non protetti non vengono eliminati dalle risposte.

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
198409 Parametri del Registro di sistema del server Microsoft DNS, parte 2 di 3

Windows 2000

Un server DNS basato su Windows 2000 può filtrare le risposte per questi record non protetti.

Per attivare questa funzionalità:
  1. Avviare l'editor del Registro di sistema (Regedt32.exe).
  2. Individuare la seguente chiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. Scegliere Aggiungi valore dal menu Modifica e aggiungere il seguente valore del Registro di sistema:
    Nome valore: SecureResponses
    Tipo dati: REG_DWORD
    Valore: 1 (Per eliminare dati non protetti)
  4. Chiudere l'editor del Registro di sistema.
In base all'impostazione predefinita, in Windows 2000 Service Pack 1 (SP1) e Windows 2000 Service Pack 2 (SP2) questa chiave non esiste e i dati non protetti non vengono eliminati dalle risposte. Anche se la protezione dagli accessi non autorizzati alla cache DNS è attiva, in base all'impostazione predefinita, in Windows 2000 SP3 e versione successiva, la chiave del Registro di sistema non esiste e non è necessaria. L'unico motivo per cui occorre creare questa chiave del Registro di sistema è quello di disattivare la protezione dagli accessi non autorizzati alla cache DNS. Per ulteriori informazioni sulla protezione dagli accessi non autorizzati alla cache DNS, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
316786 Descrizione dell'impostazione della cache protetta del server DNS in relazione agli accessi non autorizzati


Nota In Windows 2000 è possibile eseguire la stessa voce nell'interfaccia utente. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Aprire la console di gestione DNS facendo clic sul pulsante Start, scegliendo Programmi, Strumenti di amministrazione, quindi DNS.
  2. Fare clic con il pulsante destro del mouse sul nome del server nel riquadro sinistro.
  3. Scegliere Proprietà.
  4. Fare clic sulla scheda Avanzate.
  5. Selezionare la casella "Proteggi la cache dall'inquinamento".

Windows 2003

La protezione dagli accessi non autorizzati alla cache DNS è attiva, in base all'impostazione predefinita, in Microsoft Windows 2003.

Per visualizzare le impostazioni relative agli accessi non autorizzati alla cache DNS, attenersi alla seguente procedura:
  1. Aprire la console di gestione DNS facendo clic sul pulsante Start, scegliendo Programmi, Strumenti di amministrazione, quindi DNS.
  2. Fare clic con il pulsante destro del mouse sul nome del server nel riquadro sinistro.
  3. Scegliere Proprietà.
  4. Fare clic sulla scheda Avanzate.
  5. Verificare che la casella di controllo "Proteggi la cache da accessi non autorizzati" sia selezionata.
Nota Nel DNS di Windows 2003 l'impostazione della chiave del Registro di sistema non esiste, ma è attiva nell'interfaccia utente in base all'impostazione predefinita. ?È inoltre possibile verificare l'impostazione corrente eseguendo il comando riportato di seguito al prompt dei comandi: Dnscmd /Info /SecureResponses

Proprietà

Identificativo articolo: 241352 - Ultima modifica: venerdì 2 dicembre 2005 - Revisione: 2.1
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
Chiavi: 
kbinfo kbenv KB241352
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com