Jak zapobiegać skażeniu pamięci podręcznej systemu DNS

WAŻNE: Ten artykuł zawiera informacje na temat modyfikowania rejestru. Przed zmodyfikowaniem rejestru utwórz jego kopię zapasową i upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać informacje dotyczące wykonywania kopii zapasowej, przywracania i edytowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows

Streszczenie

Zanieczyszczenie pamięci podręcznej systemu DNS może nastąpić w przypadku „fałszowania” systemu DNS (Domain Name System). Termin „fałszowanie” określa wysyłanie niezabezpieczonych danych w odpowiedzi na kwerendę systemu DNS. Ten mechanizm może być używany do przekierowania kwerend do niebezpiecznego serwera DNS i może mieć szkodliwy charakter.


Uwaga: Jeżeli serwer DNS został skonfigurowany do przekazywania do innego serwera żądań dotyczących rozpoznawania, to po ustanowieniu relacji obiekt podrzędny-nadrzędny podrzędny serwer DNS mógłby być wciąż narażony na ataki ukierunkowane na zanieczyszczenie pamięci podręcznej nadrzędnego serwera DNS, jeżeli dany serwer nie daje ochrony przed skażeniem pamięci podręcznej systemu DNS. Domyślnie serwery DNS firmy Microsoft, korzystające z dodatku Service Pack w wersji 3 lub nowszego dla systemu Windows 2000, pełniące rolę obiektu nadrzędnego w relacji obiekt podrzędny-nadrzędny, w pełni chronią przed skażeniem pamięci podręcznej. Należy więc się upewnić, że ochronę przed skażeniem pamięci podręcznej systemu DNS włączono w przypadku wszystkich serwerów DNS w organizacji.

Więcej informacji

OSTRZEŻENIE: Nieprawidłowe korzystanie z Edytora rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru będzie możliwe. Edytora rejestru można używać na własną odpowiedzialność.

System Windows NT 4.0

W przypadku systemu Windows NT 4.0 z dodatkiem Service Pack 4 (SP4) lub nowszym serwer DNS z systemem Windows NT może odfiltrowywać odpowiedzi związane z tymi niezabezpieczonymi rekordami.

Aby włączyć tę funkcję:
 1. Uruchom Edytor rejestru (Regedt32.exe).
 2. Zlokalizuj następujący klucz w rejestrze:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
 3. W menu Edycja kliknij polecenie Dodaj wartość, a następnie dodaj następującą wartość rejestru:
  Nazwa wartości: SecureResponses
  Typ danych: REG_DWORD
  Wartość: 1 (Aby wyeliminować niezabezpieczone dane)
 4. Zamknij Edytor rejestru.
Domyślnie ten klucz nie istnieje, a niezabezpieczone dane nie są eliminowane z odpowiedzi.

Aby uzyskać dodatkowe informacje, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

198409 Microsoft DNS Server Registry Parameters, Part 2 of 3

System Windows 2000

Serwer DNS z systemem Windows 2000 może odfiltrowywać odpowiedzi związane z tymi niezabezpieczonymi rekordami.

Aby włączyć tę funkcję:
 1. Uruchom Edytor rejestru (Regedt32.exe).
 2. Zlokalizuj następujący klucz w rejestrze:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
 3. W menu Edycja kliknij polecenie Dodaj wartość, a następnie dodaj następującą wartość rejestru:
  Nazwa wartości: SecureResponses
  Typ danych: REG_DWORD
  Wartość: 1 (Aby wyeliminować niezabezpieczone dane)
 4. Zamknij Edytor rejestru.
Domyślnie w systemie Windows 2000 z dodatkiem Service Pack 1 (SP1) i systemie Windows 2000 z dodatkiem Service Pack 2 (SP2) ten klucz nie istnieje, a niezabezpieczone dane nie są eliminowane z odpowiedzi. Ochrona przed skażeniem pamięci podręcznej systemu DNS jest domyślnie włączona w systemie Windows 2000 z dodatkiem SP3 i nowszym, jednak ten klucz rejestru nie istnieje i nie jest potrzebny. Jedynym powodem tworzenia tego klucza rejestru jest wyłączenie ochrony przed skażeniem pamięci podręcznej systemu DNS.Aby uzyskać więcej informacji dotyczących ochrony przed skażeniem pamięci podręcznej systemu DNS, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

316786 Description of the DNS Server Secure Cache Against Pollution SettingUwaga: W systemie Windows 2000 można wykonać ten sam wpis w interfejsie GUI. Aby to zrobić, wykonaj następujące kroki:
 1. Otwórz konsolę zarządzania DNS, klikając przycisk Start, wybierając polecenie Programy, polecenie Narzędzia administracyjne, a następnie klikając polecenie DNS.
 2. Kliknij prawym przyciskiem myszy nazwę serwera w lewym okienku.
 3. Wybierz polecenie Właściwości.
 4. Kliknij kartę Zaawansowane.
 5. Umieść znacznik wyboru w polu „Secure cache against pollution zanieczyszczeniami”.

System Windows 2003

Ochrona przed skażeniem pamięci podręcznej systemu DNS jest w systemie Microsoft Windows 2003 domyślnie włączona.

Aby wyświetlić ustawienia skażenia pamięci podręcznej systemu DNS, wykonaj następujące kroki:
 1. Otwórz konsolę zarządzania DNS, klikając przycisk Start, wybierając polecenie Programy, polecenie Narzędzia administracyjne, a następnie klikając polecenie DNS.
 2. Kliknij prawym przyciskiem myszy nazwę serwera w lewym okienku.
 3. Wybierz polecenie Właściwości.
 4. Kliknij kartę Zaawansowane.
 5. Potwierdź, że pole wyboru „Zabezpiecz pamięć podręczną przed zanieczyszczeniami” jest zaznaczone.
Uwaga: W przypadku usługi DNS systemu Windows 2003 takie ustawienie klucza rejestru nie istnieje, jednak to ustawienie jest domyślnie włączone w interfejsie GUI. Bieżące ustawienie można również sprawdzić przy użyciu następującego polecenia w wierszu polecenia: Dnscmd /Info /SecureResponses
Właściwości

Identyfikator artykułu: 241352 — ostatni przegląd: 16.01.2008 — zmiana: 1

Opinia