Al momento sei offline in attesa che la connessione Internet venga ristabilita

Come impedire gli accessi non autorizzati alla cache DNS

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

IMPORTANTE: in questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, eseguire una copia di backup e assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
Sommario
Gli accessi non autorizzati alla cache DNS possono verificarsi se viene riscontrato lo spoofing del DNS (Domain Name System). Il termine "spoofing" descrive l'invio di dati non protetti in risposta a una query DNS. Questo sistema permette di reindirizzare le query a un server DNS inaffidabile e può rivelarsi dannoso.

Nota Se un server DNS è stato configurato per inoltrare le richieste di risoluzione a un altro server, stabilendo una relazione figlio-padre, il server DNS figlio potrebbe ancora essere vulnerabile agli attacchi di accessi non autorizzati alla cache DNS eseguiti verso un server DNS padre, se in tale server non è attiva la protezione dagli accessi non autorizzati alla cache DNS. In base all'impostazione predefinita, nei server Microsoft DNS in cui è installato Windows 2000 Service Pack 3 o versione successiva, il ruolo di padre in una relazione figlio-padre consente una protezione completa dagli accessi non autorizzati alla cache. Per questo motivo è consigliabile accertarsi che in tutti i server DNS di un'organizzazione questo tipo di protezione per la cache DNS sia attiva.
Informazioni
AVVISO: l'errato utilizzo dell'editor del Registro di sistema può causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema è a rischio e pericolo dell'utente.

Windows NT 4.0

In Windows NT 4.0 Service Pack 4 (SP4) o versione successiva un server DNS basato su Windows NT può filtrare le risposte per questi record non protetti.

Per attivare questa funzionalità:
  1. Avviare l'editor del Registro di sistema (Regedt32.exe).
  2. Individuare la seguente chiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. Scegliere Aggiungi valore dal menu Modifica e aggiungere il seguente valore del Registro di sistema:
    Nome valore: SecureResponses
    Tipo dati: REG_DWORD
    Valore: 1 (Per eliminare dati non protetti)
  4. Chiudere l'editor del Registro di sistema.
In base all'impostazione predefinita, questa chiave non esiste e i dati non protetti non vengono eliminati dalle risposte.

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
198409 Parametri del Registro di sistema del server Microsoft DNS, parte 2 di 3

Windows 2000

Un server DNS basato su Windows 2000 può filtrare le risposte per questi record non protetti.

Per attivare questa funzionalità:
  1. Avviare l'editor del Registro di sistema (Regedt32.exe).
  2. Individuare la seguente chiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. Scegliere Aggiungi valore dal menu Modifica e aggiungere il seguente valore del Registro di sistema:
    Nome valore: SecureResponses
    Tipo dati: REG_DWORD
    Valore: 1 (Per eliminare dati non protetti)
  4. Chiudere l'editor del Registro di sistema.
In base all'impostazione predefinita, in Windows 2000 Service Pack 1 (SP1) e Windows 2000 Service Pack 2 (SP2) questa chiave non esiste e i dati non protetti non vengono eliminati dalle risposte. Anche se la protezione dagli accessi non autorizzati alla cache DNS è attiva, in base all'impostazione predefinita, in Windows 2000 SP3 e versione successiva, la chiave del Registro di sistema non esiste e non è necessaria. L'unico motivo per cui occorre creare questa chiave del Registro di sistema è quello di disattivare la protezione dagli accessi non autorizzati alla cache DNS. Per ulteriori informazioni sulla protezione dagli accessi non autorizzati alla cache DNS, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
316786 Descrizione dell'impostazione della cache protetta del server DNS in relazione agli accessi non autorizzati


Nota In Windows 2000 è possibile eseguire la stessa voce nell'interfaccia utente. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Aprire la console di gestione DNS facendo clic sul pulsante Start, scegliendo Programmi, Strumenti di amministrazione, quindi DNS.
  2. Fare clic con il pulsante destro del mouse sul nome del server nel riquadro sinistro.
  3. Scegliere Proprietà.
  4. Fare clic sulla scheda Avanzate.
  5. Selezionare la casella "Proteggi la cache dall'inquinamento".

Windows 2003

La protezione dagli accessi non autorizzati alla cache DNS è attiva, in base all'impostazione predefinita, in Microsoft Windows 2003.

Per visualizzare le impostazioni relative agli accessi non autorizzati alla cache DNS, attenersi alla seguente procedura:
  1. Aprire la console di gestione DNS facendo clic sul pulsante Start, scegliendo Programmi, Strumenti di amministrazione, quindi DNS.
  2. Fare clic con il pulsante destro del mouse sul nome del server nel riquadro sinistro.
  3. Scegliere Proprietà.
  4. Fare clic sulla scheda Avanzate.
  5. Verificare che la casella di controllo "Proteggi la cache da accessi non autorizzati" sia selezionata.
Nota Nel DNS di Windows 2003 l'impostazione della chiave del Registro di sistema non esiste, ma è attiva nell'interfaccia utente in base all'impostazione predefinita. È inoltre possibile verificare l'impostazione corrente eseguendo il comando riportato di seguito al prompt dei comandi: Dnscmd /Info /SecureResponses
spoof corruption
Proprietà

ID articolo: 241352 - Ultima revisione: 12/02/2005 18:13:00 - Revisione: 2.1

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows NT Server 4.0 Standard Edition

  • kbinfo kbenv KB241352
Feedback