Предотвращение загрязнения кэша DNS

Переводы статьи Переводы статьи
Код статьи: 241352 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Решения, приведенные в этой статье, связаны с внесением изменений в системный реестр. Перед внесением изменений в системный реестр рекомендуется создать резервную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивировании, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Аннотация

Загрязнение кэша DNS может произойти в случае доступа к системе доменных имен (DNS) с помощью подложных данных. В подобном случае в ответ на запрос DNS отправляются непроверенные данные, что может использоваться злонамеренным образом для перенаправления запросов на незаконный сервер DNS.

Примечание. Если, согласно настройкам, сервер DNS перенаправляет запросы на разрешение имен на другой сервер, устанавливая отношения типа «дочерний-родительский сервер», дочерний сервер DNS остается уязвимым к злонамеренным попыткам загрязнения кэша DNS, предпринимаемым против родительского сервера DNS, если на данном сервере не используется защита от загрязнения кэша DNS. По умолчанию все серверы DNS корпорации Майкрософт под управлением Windows 2000 с пакетом обновления 3 или более поздних версий, выступающие в качестве родительского сервера, в отношениях типа «дочерний-родительский сервер», используют защиту от загрязнения кэша. Убедитесь, что защита от загрязнения кэша DNS активирована на всех серверах DNS в организации.

Дополнительная информация

Внимание! Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

Windows NT 4.0

В Windows NT 4.0 с пакетом обновления 4 (SP4) или более поздних версиях сервер DNS под управлением Windows NT может отфильтровывать отклики на эти непроверенные данные.

Чтобы использовать эту возможность, выполните следующие действия:
  1. Запустите редактор реестра (Regedit.exe).
  2. Найдите в реестре следующий раздел:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. В меню Edit выберите пункт Add Value и добавьте следующий параметр реестра.
    Параметр: SecureResponses
    Тип данных: REG_DWORD
    Значение: 1 (для удаления непроверенных данных)
  4. Закройте редактор реестра.
По умолчанию данный раздел реестра не существует и непроверенные данные не удаляются из откликов.

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
198409 Параметры реестра сервера DNS корпорации Майкрософт, часть 2 из 3 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Windows 2000

Сервер DNS под управлением Windows 2000 может отфильтровывать отклики на эти непроверенные данные.

Чтобы использовать эту возможность, выполните следующие действия:
  1. Запустите редактор реестра (Regedit.exe).
  2. Найдите в реестре следующий раздел:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. В меню Правка выберите пункт Добавить значение и добавьте следующий параметр реестра.
    Параметр: SecureResponses
    Тип данных: REG_DWORD
    Значение: 1 (для удаления непроверенных данных)
  4. Закройте редактор реестра.
По умолчанию в Windows 2000 с пакетом обновления 1 (SP1) и Windows 2000 с пакетом обновления 2 (SP2) данный раздел реестра не существует, и непроверенные данные не удаляются из откликов. Несмотря на то, что в Windows 2000 SP3 и более поздних версиях защита от загрязнения кэша DNS активируется по умолчанию, раздел реестра не существует и не требуется. Данный раздел реестра создается только при необходимости в отключении защиты от загрязнения кэша DNS. Дополнительные сведения о защите от загрязнения кэша DNS см. в следующей статье базы знаний Майкрософт:
316786 Описание функции защиты от загрязнения кэша сервера DNS (Эта ссылка может указывать на содержимое полностью или частично на английском языке)


Примечание В Windows 2000 те же действия можно выполнить с помощью графического интерфейса пользователя. Для этого выполните следующие действия.
  1. Чтобы открыть консоль управления DNS, нажмите кнопку Пуск, выберите пункт Программы, а затем — Администрирование и DNS.
  2. Щелкните правой кнопкой мыши на имени сервера в левой части окна.
  3. Выберите пункт Свойства.
  4. Откройте вкладку Дополнительно.
  5. Установите флажок "Включить безопасный кэш".

Windows 2003

В Microsoft Windows 2003 зашита от загрязнения кэша DNS включена по умолчанию.

Чтобы показать настройки защиты от загрязнения кэша DNS, выполните следующие действия:
  1. Чтобы открыть консоль управления DNS, нажмите кнопку Пуск, выберите пункт Программы, а затем — Администрирование и DNS.
  2. Щелкните правой кнопкой мыши на имени сервера в левой части окна.
  3. Выберите пункт Свойства.
  4. Откройте вкладку Дополнительно.
  5. Убедитесь, что флажок "Включить безопасный кэш" установлен.
Примечание. В DNS Windows 2003 раздел реестра не существует, однако защита включена в графическом интерфейсе пользователя по умолчанию. Чтобы проверить текущие настройки, также можно выполнить в командной строке следующую команду: Dnscmd /Info /SecureResponses

Свойства

Код статьи: 241352 - Последний отзыв: 14 марта 2006 г. - Revision: 2.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
Ключевые слова: 
kbinfo kbenv KB241352

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com