DNS キャッシュ破壊の防止策

文書翻訳 文書翻訳
文書番号: 241352 - 対象製品
この記事は、以前は次の ID で公開されていました: JP241352
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、システムの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

概要

ドメイン ネーム システムに (DNS) "スプーフィング" の攻撃を受けると、DNS のキャッシュが破壊される場合があります。"スプーフィング" とは、DNS クエリに対する応答として、悪質なデータを送信することです。これによって、認証されていない DNS サーバーにクエリがリダイレクトされ、悪意のある目的で利用されることがあります。

: DNS サーバーが、親子関係を確立してドメイン名の解決要求を他のサーバーに転送するように構成されている場合、子の DNS サーバーで DNS キャッシュの破壊に対する防止策が講じられていないと、その子サーバーも、親 DNS サーバーに対して実行された DNS キャッシュの破壊攻撃の影響を受ける可能性があります。Windows 2000 Service Pack 3 以降を使用していて、親子関係の親となっている Microsoft DNS サーバーでは、デフォルトで DNS キャッシュ破壊の防止が有効になっています。組織内のすべての DNS サーバーで DNS キャッシュ破壊の防止を有効にしておく必要があります。

詳細

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

Windows NT 4.0

Windows NT 4.0 Service Pack 4 (SP4) 以降を使用している場合、Windows NT ベースの DNS サーバーで、これらの悪質なレコードに対する応答をフィルタ処理により除外することができます。

この機能を有効にするには、次の手順を実行します。
  1. レジストリ エディタ (Regedt32.exe) を起動します。
  2. 次のレジストリ キーを見つけます。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. [編集] メニューの [値の追加] をクリックし、以下のレジストリ値を追加します。
    値の名前 : SecureResponses
    データ タイプ : REG_DWORD
    データ : 1 (悪質なデータを削除します)
  4. レジストリ エディタを終了します。
デフォルトでは、このキーは存在しないため、応答から悪質なデータが削除されません。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
198409 Microsoft DNS Server のレジストリ パラメータ (パート 2/3)

Windows 2000

Windows 2000 ベースの DNS サーバーでは、これらの悪質なレコードに対する応答をフィルタ処理により除外することができます。

この機能を有効にするには、次の手順を実行します。
  1. レジストリ エディタ (Regedt32.exe) を起動します。
  2. 次のレジストリ キーを見つけます。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. [編集] メニューの [値の追加] をクリックし、以下のレジストリ値を追加します。
    値の名前 : SecureResponses
    データ型 : REG_DWORD
    データ : 1 (悪質なデータを削除します)
  4. レジストリ エディタを終了します。
Windows 2000 Service Pack 1 (SP1) および Windows 2000 Service Pack 2 (SP2) では、デフォルトでは、このキーは存在しないため、応答から悪質なデータが削除されません。Windows 2000 SP3 以降では、デフォルトで DNS キャッシュ破壊の防止が有効になっていますが、このレジストリ キーは存在しません (レジストリ キーは必要ありません)。DNS キャッシュ破壊の防止を無効にする場合のみ、このレジストリ キーを作成する必要があります。 DNS キャッシュ破壊の防止の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
316786 DNS サーバーの [Pollution に対してセキュリティでキャッシュを保護する] 設定について


: Windows 2000 では、GUI を使用してこの設定を行うことができます。これを行うには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[プログラム]、[管理ツール] の順にポイントし、[DNS] をクリックして、DNS Microsoft 管理コンソール (MMC) スナップインを開きます。
  2. 左側のウィンドウで、サーバー名を右クリックします。
  3. [プロパティ] をクリックします。
  4. [詳細] タブをクリックします。
  5. [Pollution に対してセキュリティでキャッシュを保護する] チェック ボックスをオンにします。

Windows Server 2003

Microsoft Windows Server 2003 ではデフォルトで、DNS キャッシュ破壊の防止が有効になっています。

DNS キャッシュ破壊の防止の設定を確認するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[すべてのプログラム]、[管理ツール] の順にポイントし、[DNS] をクリックして、DNS Microsoft 管理コンソール (MMC) スナップインを開きます。
  2. 左側のウィンドウで、サーバー名を右クリックします。
  3. [プロパティ] をクリックします。
  4. [詳細] タブをクリックします。
  5. [Pollution に対してセキュリティでキャッシュを保護する] チェック ボックスがオンになっていることを確認します。
: Windows Server 2003 の DNS には、レジストリ キーの設定はありません。この設定は、デフォルトで GUI で有効になっています。コマンド プロンプトで次のコマンドを実行することで現在の設定を確認することもできます。

Dnscmd /Info /SecureResponses

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 241352 (最終更新日 2005-04-06) を基に作成したものです。

プロパティ

文書番号: 241352 - 最終更新日: 2005年4月18日 - リビジョン: 2.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
キーワード:?
kbinfo kbenv KB241352
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com