Como configurar o Microsoft DNS e WINS para reservar o registo de WPAD

O software cliente configurado de forma a utilizar a identificação automática do proxy web (WPAD, Web Proxy Automatic Discovery) tem de conseguir contactar um anfitrião que funcione como servidor de um ficheiro de configuração automática do proxy (Wpad.dat). Um cliente configurado de forma a utilizar WPAD pode utilizar diversos métodos para localizar um anfitrião que contenha um ficheiro Wpad.dat. Dois destes métodos requerem o registo de uma entrada de WPAD no sistema de nomes de domínio (DNS, Domain Name System) ou no WINS (Windows Internet Naming Service). Registar uma entrada de WPAD no DNS ou no WINS permite que os clientes resolvam nomes de anfitriões que contenham ficheiros de configuração automática de proxy.

Se uma entidade conseguir registar sub-repticiamente uma entrada de WPAD no DNS ou no WINS, e esta entrada for resolvida para um anfitrião que tenha um ficheiro Wpad.dat malicioso, os clientes WPAD poderão conseguir encaminhar o respectivo tráfego de Internet através de um servidor proxy malicioso.

Os administradores de rede que ainda não tenham registado entradas de WPAD legítimas no DNS ou no WINS, e que não tenham implementado correctamente a WPAD através de DHCP e da opção 252, têm de reservar nomes de anfitrião de DNS de WPAD estáticos e registos de nome de WINS de WPAD. Com este procedimento, os administradores de rede ajudam a impedir possíveis registos maliciosos.

Para reservar nomes de anfitrião de DNS estáticos e registos de nome de WINS para WPAD e para reservar outros nomes que possa pretender bloquear, siga estes passos.

DNS

Para registar uma entrada de anfitrião com um nome reservado no DNS, é necessário registar o nome de anfitrião sem registar um endereço IP. Utilize um dos seguintes métodos, conforme for adequado à sua situação.

Método 1: Utilize a Consola de gestão do DNS

1. Abra a consola de gestão do DNS.
2. Clique com o botão direito do rato na zona que corresponde ao domínio de procura apropriado e, em seguida, clique em Outros novos registos.
3. Na lista Seleccione o tipo de registo de recurso, seleccione Texto (TXT).
4. Clique em Criar registo.
5. Em Novo registo de recurso, escreva o nome reservado na caixa Nome do registo.
   
   Por exemplo, se pretender reservar o nome "WPAD", escreva WPAD na caixa Nome do registo.
6. Clique em OK para adicionar o novo registo à zona.
7. Repita os passos 5 e 6 para todos os outros nomes reservados que pretenda bloquear.
8. Repita os passos de 1 a 7 para cada domínio de procura.

Método 2: Utilize comandos numa linha de comandos

1. Abra uma janela da linha de comandos.
2. Numa linha de comandos, escreva o seguinte comando e, em seguida, prima ENTER:
   dnscmd ServerName /RecordAdd ZoneName <nome reservado> TXT ""
   Por exemplo, se pretender reservar o nome "WPAD," escreva o seguinte comando:
   dnscmd ServerName /RecordAdd ZoneName WPAD TXT ""
   Notas
   • Poderá introduzir algum texto de referência como os dados do registo TXT, como, por exemplo, ?KB934864.?
   • Se ServerName não for especificado, será utilizado o computador local.
3. Repita o passo 2 para todos os outros nomes reservados que pretenda bloquear.
4. Repita os passos de 1 a 3 para cada domínio de procura.

WINS

Para registar um registo de nome reservado no WINS, tem de registar o nome e o nome qualificado. (Um nome qualificado é um nome seguido de um carácter de ponto final (.)) Por exemplo, para registar o registo de nome "WPAD" reservado no WINS, é necessário registar ambos os seguintes nomes:

• WPAD
• WPAD.

Ao registar o nome e o nome qualificado, verificam-se as seguintes condições:

• Todos os registos de nome reservado são bloqueados.
• O WINS é impedido de responder a clientes WINS que solicitem a resolução de registos de nome reservado.

Exemplo de WPAD

Utilize o seguinte procedimento para o nome reservado "WPAD" como modelo e execute os passos para os seguintes itens:

• Todos os servidores de WINS
• Todos os nomes reservados, como, por exemplo, o nome reservado "WPAD"
• Quaisquer outros nomes que pretenda bloquear

1. Abra o gestor do WINS.
2. Crie um grupo de Internet atribuído estaticamente, denominado "WPAD" e com um único endereço IP de 0.0.0.0.
3. Clique em Aplicar.
4. Remova o endereço e clique em Aplicar (Apply). Tem agora uma entrada multiregisto no WINS que não tem registos.
5. Crie um grupo de Internet atribuído estaticamente, denominado "WPAD" e com um único endereço IP de 0.0.0.0.
6. Clique em Aplicar.
7. Remova o endereço e clique em Aplicar (Apply). Tem agora uma entrada multiregisto no WINS que não tem registos.

Nota: estas alterações não são replicadas. Por este motivo, tem de repetir os passos de 1 a 5 em todos os servidores de WINS da organização.