Como evitar a poluição da cache do DNS

A poluição da cache do DNS pode ocorrer caso seja detectado um ataque de fraude de identidade no sistema de nomes de domínio (DNS, Domain Name System). O termo ataque de fraude de identidade descreve o envio de dados não seguros como resposta a uma consulta de DNS. Pode ser utilizado para redireccionar consultas para um servidor de DNS não controlado e pode ser de natureza maliciosa.

Nota: se um servidor de DNS tiver sido configurado para reencaminhar pedidos de resolução para outro servidor, estabelecendo uma relação subordinado-principal, o servidor de DNS subordinado poderá continuar vulnerável a ataques de poluição da cache do DNS efectuados contra o servidor de DNS principal, caso esse servidor não tenha a protecção contra a poluição da cache do DNS activada. Por predefinição, os servidores de DNS da Microsoft, com o Windows 2000 Service Pack 3 ou posterior, que funcionem como principais numa relação subordinado-principal, executarão integralmente a protecção contra a poluição da cache. Por conseguinte, certifique-se de que todos os servidores de DNS de uma empresa têm a protecção contra a poluição da cache do DNS activada.

AVISO: a utilização incorrecta do Editor de registo (Registry Editor) poderá provocar problemas graves que poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de registo (Registry Editor) possam ser resolvidos. Todo e qualquer risco decorrente da utilização do Editor de registo (Registry Editor) é da responsabilidade do utilizador.

Windows NT 4.0

No Windows NT 4.0 Service Pack 4 (SP4) ou posterior, um servidor de DNS baseado no Windows NT consegue filtrar as respostas destes registos não seguros.

Para activar esta funcionalidade:

1. Inicie o Registry Editor (Regedt32.exe).
2. Localize a seguinte chave no registo:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
3. No menu Edit, clique em Add Value e adicione o seguinte valor de registo:
   Nome do valor: SecureResponses
   Tipo de dados: REG_DWORD
   Valor: 1 (Para eliminar dados não seguros)
4. Saia do Registry Editor.

Por predefinição, esta chave não existe e os dados não seguros não são eliminados das respostas.

Para obter informações adicionais, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

Windows 2000

Um servidor de DNS baseado no Windows 2000 consegue filtrar as respostas destes registos não seguros.

Para activar esta funcionalidade:

1. Inicie o Editor de registo (Registry Editor) (Regedt32.exe).
2. Localize a seguinte chave no registo:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
3. No menu Editar (Edit), clique em Adicionar valor (Add Value) e adicione o seguinte valor de registo:
   Nome do valor: SecureResponses
   Tipo de dados: REG_DWORD
   Valor: 1 (Para eliminar dados não seguros)
4. Saia do Editor de registo (Registry Editor).

Por predefinição, no Windows 2000 Service Pack 1 (SP1) e no Windows 2000 Service Pack 2 (SP2), esta chave não existe e os dados não seguros não são eliminados das respostas. Embora a protecção contra a poluição da cache do DNS esteja activada por predefinição no Windows 2000 SP3 e posterior, a chave de registo não existe e não é necessária. Esta chave de registo foi criada com o único objectivo de desactivar a protecção contra a poluição da cache do DNS. Para obter mais informações sobre a protecção contra a poluição da cache do DNS, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

Nota: no Windows 2000, pode efectuar a mesma entrada na GUI. Utilize os seguintes passos para o fazer:

1. Abra a consola de gestão de DNS clicando em Iniciar (Start), Programas (Programs), Ferramentas administrativas (Adminstrative Tools) e DNS.
2. Clique com o botão direito do rato no nome do servidor no painel esquerdo da janela.
3. Seleccione Propriedades (Properties).
4. Seleccione o separador Avançadas (Advanced).
5. Coloque uma marca de verificação na caixa Proteger cache contra a poluição (Secure cache against pollution).

Windows 2003

A protecção contra a poluição da cache do DNS está activada por predefinição no Microsoft Windows 2003.

Para visualizar as definições de poluição da cache do DNS, utilize os seguintes passos:

1. Abra a consola de gestão de DNS clicando em Iniciar, Todos os programas, Ferramentas administrativas e DNS.
2. Clique com o botão direito do rato no nome do servidor no painel esquerdo da janela.
3. Seleccione Propriedades.
4. Seleccione o separador Avançadas.
5. Confirme se a caixa de verificação Proteger cache contra a poluição está seleccionada.

Nota: no DNS do Windows 2003, a definição da chave de registo não existe, no entanto a definição está activada na GUI por predefinição. Também é possível verificar a definição actual executando o seguinte comando numa linha de comandos: Dnscmd /Info /SecureResponses