如何防止 DNS 快取干擾

文章翻譯 文章翻譯
文章編號: 241352 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

如果發生 [詐騙網域名稱系統 (DNS)"」,就會發生 DNS 快取干擾。詞彙 「 詐騙 」 說明傳送非安全的資料,以回應 DNS 查詢。它可以用來將查詢重新導向至惡意的 DNS 伺服器,並可在本質惡意。

附註如果正向解析到另一部伺服器的要求中設定 DNS 伺服器,建立子系父系關聯子 DNS 伺服器仍然可能遭受 DNS 快取干擾攻擊執行對父 DNS 伺服器,如果該伺服器不執行 DNS 快取干擾保護。根據預設 Microsoft DNS 伺服器使用 Windows 2000 Service Pack 3 或更新版本,作為子系父系關聯性中的父系會完全執行快取干擾保護。因此,請確定組織中的所有 DNS 伺服器都有啟用 DNS 快取干擾保護。

其他相關資訊

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756如何備份和還原在 Windows 登錄

Windows NT 4.0

使用 Windows NT 4.0 服務套件 4 (SP4) 或稍後,Windows NT 為基礎的 DNS 伺服器,以篩選出這些非安全記錄的回應。

若要啟用這項功能:
  1. 啟動 「 登錄編輯程式 」 (Regedt32.exe)。
  2. 在登錄中找到下列機碼:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. 在 [編輯] 功能表上按一下 [新增值],並再新增下列登錄值:
    數值名稱: SecureResponses
    資料類型: REG_DWORD
    : 1 (若要除去不安全的資料)
  4. 結束 「 登錄編輯程式 」。
預設情況下,此機碼不存在,且非安全的資料就會從回應不被淘汰。

如需詳細資訊按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
198409Microsoft DNS 伺服器登錄參數,3 的第 2 部分

Windows 2000

Windows 2000 DNS 伺服器,以篩選出這些非安全記錄的回應。

若要啟用這項功能:
  1. 啟動 「 登錄編輯程式 」 (Regedt32.exe)。
  2. 在登錄中找到下列機碼:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. 在 [編輯] 功能表上按一下 [新增值],並再新增下列登錄值:
    數值名稱: SecureResponses
    資料類型: REG_DWORD
    : 1 (若要除去不安全的資料)
  4. 結束 「 登錄編輯程式 」。
在 Windows 2000 Service Pack 1 (SP1) 和 Windows 2000 Service Pack 2 (SP2) 上的預設此機碼不存在,且非安全的資料就會從回應不被淘汰。雖然依預設在 Windows 2000 SP3 及更新版本中會啟用 DNS 快取干擾保護,登錄機碼不存在,且不需要。建立此登錄機碼唯一的理由,就是停用 DNS 快取干擾保護。如 DNS 快取干擾保護更多有關,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
316786DNS 伺服器安全快取以防侵害設定的描述


附註 在 Windows 2000 上,您可以在 GUI 中執行相同的項目。要執行這項操作,請使用下列步驟:
  1. 開啟 DNS 管理主控台,方法是按一下 [開始]、 [程式集]、 [管理工具,然後按一下 [DNS
  2. 在左的視窗窗格中,伺服器名稱上按一下滑鼠右鍵。
  3. 選擇 [屬性]。
  4. 選擇 [進階] 索引標籤。
  5. 將一個檢查放在方塊 」 保護快取以防侵害 」。

Windows 2003

在 Microsoft Windows 2003 中預設會啟用 DNS 快取干擾保護。

若要檢視 DNS 快取干擾設定,使用下列步驟執行:
  1. 開啟 DNS 管理主控台,方法是按一下 [開始]、 [程式集]、 [管理工具,然後按一下 [DNS
  2. 以滑鼠右鍵按一下伺服器名稱左邊的視窗窗格中。
  3. 選擇 [屬性]。
  4. 選擇 [進階] 索引標籤。
  5. 確認已選取 [< 建置安全的快取以防侵害 」] 核取方塊。
附註 在 Windows 2003 DNS 中登錄機碼設定不存在,但是設定預設會啟用在 GUI 中。 您也可以藉由在命令提示字元執行下列命令來檢查目前的設定: Dnscmd /Info /SecureResponses

屬性

文章編號: 241352 - 上次校閱: 2007年2月28日 - 版次: 2.4
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
關鍵字:?
kbmt kbenv kbinfo KB241352 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:241352
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com