Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

A DNS-gyorsítótár szennyezésének megakadályozása

2015. július 14-én véget ért a Windows Server 2003 támogatása

2015. július 14-én a Microsoft megszüntette a Windows Server 2003 támogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

Fontos: Ebben a cikkben a rendszerleíró adatbázis módosításával kapcsolatos tudnivalók olvashatók. A rendszerleíró adatbázis módosítása előtt feltétlenül készítsen biztonsági másolatot arról, és csak akkor fogjon hozzá, ha tisztában van a rendszerleíró adatbázis visszaállításának módjával probléma esetén. A rendszerleíró adatbázis biztonsági mentéséről, visszaállításáról és módosításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
256986 A Microsoft Windows rendszerleíró adatbázisának ismertetése
Összefoglaló
A tartománynévrendszer bejegyzéseinek cseréje esetén a DNS-gyorsítótár szennyeződhet. A „bejegyzések cseréje” a tartománynévrendszer bejegyzéseinek olyan megtévesztő célú manipulálását jelenti, amikor a DNS-lekérdezésekre a rendszer nem biztonságos adatokat küld vissza. Ezzel a módszerrel át lehet irányítani a lekérdezéseket egy csaló DNS-kiszolgálóra, és ezáltal károkozásra ad lehetőséget.

Megjegyzés: Ha egy DNS-kiszolgáló úgy van beállítva, hogy továbbítsa a megoldandó kéréseket egy másik kiszolgálóhoz, és ezáltal gyermek-szülő viszonyt hoz létre, a gyermek DNS-kiszolgáló továbbra is ki lehet téve a szülő DNS-kiszolgáló ellen irányuló gyorsítótár-szennyezéseknek, ha az adott DNS-kiszolgáló nem rendelkezik gyorsítótár-szennyezési védelemmel. Alapértelmezés szerint azok a Microsoft DNS-kiszolgálók, melyek a Windows 2000 Service Pack 3 vagy annál újabb rendszert használják, és egy gyerek-szülő viszonyban szülőként szerepelnek, teljes mértékben védelmet nyújtanak a gyorsítótár szennyezése ellen. Ezért győződjön meg róla, hogy az adott szervezeten belül minden DNS-kiszolgálón engedélyezve legyen a gyorsítótár-szennyezési védelem.
További információ
Figyelem: A Rendszerleíróadatbázis-szerkesztő helytelen használata komoly problémákat okozhat, amelyek akár az operációs rendszer újratelepítését is szükségessé tehetik. A Microsoft nem garantálja az ilyen jellegű problémák megoldhatóságát, ezért a Rendszerleíróadatbázis-szerkesztőt csak saját felelősségére használhatja.

Windows NT 4.0

A Windows NT 4.0 Service Pack 4 (SP4) vagy későbbi verziói esetében a Windows NT alapú DNS-kiszolgálók ki tudják szűrni a nem biztonságos rekordokra adott válaszokat.

A funkció engedélyezéséhez:
  1. Indítsa el a Rendszerleíróadatbázis-szerkesztőt (Regedt32.exe).
  2. Keresse meg a következő rendszerleíró kulcsot a rendszerleíró adatbázisban:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. A Szerkesztés menüből válassza az Azonosító hozzáadása parancsot, majd hozza létre a következő azonosítót:
    Azonosítónév: SecureResponses
    Adattípus: REG_DWORD
    Érték: 1 (a nem biztonságos adatok kiiktatásához)
  4. Lépjen ki a Rendszerleíróadatbázis-szerkesztőből.
Alapértelmezés szerint ez a kulcs nem létezik, és a nem biztonságos adatokat a rendszer nem iktatja ki a válaszokból.

A Microsoft Tudásbázis kapcsolódó cikke:
198409 a Microsoft DNS-kiszolgáló rendszerleíró paraméterei, 3/2. rész (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Windows 2000

A Windows 2000 alapú DNS-kiszolgálók ki tudják szűrni a nem biztonságos rekordokra érkező válaszokat.

A funkció engedélyezéséhez:
  1. Indítsa el a Rendszerleíróadatbázis-szerkesztőt (Regedt32.exe).
  2. Keresse meg a következő rendszerleíró kulcsot a rendszerleíró adatbázisban:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. A Szerkesztés menüből válassza az Azonosító hozzáadása parancsot, majd hozza létre a következő azonosítót:
    Azonosítónév: SecureResponses
    Adattípus: REG_DWORD
    Érték: 1 (a nem biztonságos adatok kiiktatásához)
  4. Lépjen ki a Rendszerleíróadatbázis-szerkesztőből.
Alapértelmezés szerint Windows 2000 Service Pack 1 (SP1) és a Windows 2000 Service Pack 2 (SP2) rendszerben ez a kulcs nem létezik, és a rendszer a nem biztonságos adatokat nem iktatja ki a válaszokból. Noha a Windows 2000 SP3 és későbbi verzióiban engedélyezve van a DNS-gyorsítótár szennyezésvédelme, a rendszerleíró kulcs nem létezik, de nem is szükséges. A rendszerleíró kulcs létrehozására csak a DNS gyorsítótár-szennyezési védelmének letiltásához lehet szükség.A DNS gyorsítótár-szennyezési védelméről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
316786 A DNS kiszolgáló szennyezés elleni védelmet nyújtó beállítása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)


Megjegyzés: A Windows 2000 operációs rendszerben ugyanezt a bejegyzést elvégezheti grafikus felhasználói felületen is a következő lépésekkel:
  1. Nyissa meg a DNS-kezelő konzolt a Start menü Programok, majd Felügyeleti eszközök pontjára mutatva, végül pedig a DNS parancsra kattintva.
  2. Kattintson jobb gombbal a kiszolgáló nevére a bal oldali ablaktáblán.
  3. Válassza a Tulajdonságok parancsot.
  4. Kattintson a Speciális fülre.
  5. Jelölje be „A gyorsítótár szennyezés elleni védelme" jelölőnégyzetet.

Windows 2003

A DNS gyorsítótár-szennyezési védelme alapértelmezés szerint engedélyezve van a Microsoft Windows 2003 operációs rendszerben.

A DNS kiszolgáló szennyezés elleni védelmet nyújtó beállításainak megtekintéséhez hajtsa végre a következő lépéseket:
  1. Nyissa meg a DNS-kezelő konzolt a Start menü Programok, majd Felügyeleti eszközök pontjára mutatva, végül pedig a DNS parancsra kattintva.
  2. Kattintson jobb gombbal a kiszolgáló nevére a bal oldali ablaktáblán.
  3. Válassza a Tulajdonságok parancsot.
  4. Kattintson a Speciális fülre.
  5. Ellenőrizze, hogy „A gyorsítótár szennyezés elleni védelme" jelölőnégyzet be van-e jelölve.
Megjegyzés: A Windows 2003 DNS esetében a rendszerleíró kulcs nem létezik, noha a beállítás a grafikus felhasználói felületen alapértelmezés szerint engedélyezve van. Az aktuális beállítást úgy is ellenőrizheti, ha parancssorból futtatja a következő parancsot:Dnscmd /Info /SecureResponses
bejegyzések cseréje sérülés
Tulajdonságok

Cikkazonosító: 241352 - Utolsó ellenőrzés: 02/09/2006 15:27:00 - Verziószám: 2.1

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows NT Server 4.0 Standard Edition

  • kbinfo kbenv KB241352
Visszajelzés