Como evitar a poluição da cache do DNS

Traduções de Artigos Traduções de Artigos
Artigo: 241352 - Ver produtos para os quais este artigo se aplica.
IMPORTANTE: este artigo contém informações sobre como modificar o registo. Antes de modificar o registo, certifique-se de que efectua uma cópia de segurança e de que compreende como o pode restaurar se ocorrer um problema. Para obter informações sobre como efectuar uma cópia de segurança, restaurar e editar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
256986 Descrição do registo do Microsoft Windows


Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).
Expandir tudo | Reduzir tudo

Nesta página

Sumário

A poluição da cache do DNS pode ocorrer caso seja detectado um ataque de fraude de identidade no sistema de nomes de domínio (DNS, Domain Name System). O termo ataque de fraude de identidade descreve o envio de dados não seguros como resposta a uma consulta de DNS. Pode ser utilizado para redireccionar consultas para um servidor de DNS não controlado e pode ser de natureza maliciosa.

Nota: se um servidor de DNS tiver sido configurado para reencaminhar pedidos de resolução para outro servidor, estabelecendo uma relação subordinado-principal, o servidor de DNS subordinado poderá continuar vulnerável a ataques de poluição da cache do DNS efectuados contra o servidor de DNS principal, caso esse servidor não tenha a protecção contra a poluição da cache do DNS activada. Por predefinição, os servidores de DNS da Microsoft, com o Windows 2000 Service Pack 3 ou posterior, que funcionem como principais numa relação subordinado-principal, executarão integralmente a protecção contra a poluição da cache. Por conseguinte, certifique-se de que todos os servidores de DNS de uma empresa têm a protecção contra a poluição da cache do DNS activada.

Mais Informação

AVISO: a utilização incorrecta do Editor de registo (Registry Editor) poderá provocar problemas graves que poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de registo (Registry Editor) possam ser resolvidos. Todo e qualquer risco decorrente da utilização do Editor de registo (Registry Editor) é da responsabilidade do utilizador.

Windows NT 4.0

No Windows NT 4.0 Service Pack 4 (SP4) ou posterior, um servidor de DNS baseado no Windows NT consegue filtrar as respostas destes registos não seguros.

Para activar esta funcionalidade:
  1. Inicie o Registry Editor (Regedt32.exe).
  2. Localize a seguinte chave no registo:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. No menu Edit, clique em Add Value e adicione o seguinte valor de registo:
    Nome do valor: SecureResponses
    Tipo de dados: REG_DWORD
    Valor: 1 (Para eliminar dados não seguros)
  4. Saia do Registry Editor.
Por predefinição, esta chave não existe e os dados não seguros não são eliminados das respostas.

Para obter informações adicionais, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
198409 Microsoft DNS Server Registry Parameters, Part 2 of 3

Windows 2000

Um servidor de DNS baseado no Windows 2000 consegue filtrar as respostas destes registos não seguros.

Para activar esta funcionalidade:
  1. Inicie o Editor de registo (Registry Editor) (Regedt32.exe).
  2. Localize a seguinte chave no registo:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. No menu Editar (Edit), clique em Adicionar valor (Add Value) e adicione o seguinte valor de registo:
    Nome do valor: SecureResponses
    Tipo de dados: REG_DWORD
    Valor: 1 (Para eliminar dados não seguros)
  4. Saia do Editor de registo (Registry Editor).
Por predefinição, no Windows 2000 Service Pack 1 (SP1) e no Windows 2000 Service Pack 2 (SP2), esta chave não existe e os dados não seguros não são eliminados das respostas. Embora a protecção contra a poluição da cache do DNS esteja activada por predefinição no Windows 2000 SP3 e posterior, a chave de registo não existe e não é necessária. Esta chave de registo foi criada com o único objectivo de desactivar a protecção contra a poluição da cache do DNS. Para obter mais informações sobre a protecção contra a poluição da cache do DNS, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
316786 Description of the DNS Server Secure Cache Against Pollution Setting


Nota: no Windows 2000, pode efectuar a mesma entrada na GUI. Utilize os seguintes passos para o fazer:
  1. Abra a consola de gestão de DNS clicando em Iniciar (Start), Programas (Programs), Ferramentas administrativas (Adminstrative Tools) e DNS.
  2. Clique com o botão direito do rato no nome do servidor no painel esquerdo da janela.
  3. Seleccione Propriedades (Properties).
  4. Seleccione o separador Avançadas (Advanced).
  5. Coloque uma marca de verificação na caixa Proteger cache contra a poluição (Secure cache against pollution).

Windows 2003

A protecção contra a poluição da cache do DNS está activada por predefinição no Microsoft Windows 2003.

Para visualizar as definições de poluição da cache do DNS, utilize os seguintes passos:
  1. Abra a consola de gestão de DNS clicando em Iniciar, Todos os programas, Ferramentas administrativas e DNS.
  2. Clique com o botão direito do rato no nome do servidor no painel esquerdo da janela.
  3. Seleccione Propriedades.
  4. Seleccione o separador Avançadas.
  5. Confirme se a caixa de verificação Proteger cache contra a poluição está seleccionada.
Nota: no DNS do Windows 2003, a definição da chave de registo não existe, no entanto a definição está activada na GUI por predefinição. Também é possível verificar a definição actual executando o seguinte comando numa linha de comandos: Dnscmd /Info /SecureResponses

Propriedades

Artigo: 241352 - Última revisão: 26 de outubro de 2005 - Revisão: 2.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
Palavras-chave: 
kbinfo kbenv KB241352

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com