Como evitar a poluição da cache do DNS

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

IMPORTANTE: este artigo contém informações sobre como modificar o registo. Antes de modificar o registo, certifique-se de que efectua uma cópia de segurança e de que compreende como o pode restaurar se ocorrer um problema. Para obter informações sobre como efectuar uma cópia de segurança, restaurar e editar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
256986 Descrição do registo do Microsoft Windows


Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).
Sumário
A poluição da cache do DNS pode ocorrer caso seja detectado um ataque de fraude de identidade no sistema de nomes de domínio (DNS, Domain Name System). O termo ataque de fraude de identidade descreve o envio de dados não seguros como resposta a uma consulta de DNS. Pode ser utilizado para redireccionar consultas para um servidor de DNS não controlado e pode ser de natureza maliciosa.

Nota: se um servidor de DNS tiver sido configurado para reencaminhar pedidos de resolução para outro servidor, estabelecendo uma relação subordinado-principal, o servidor de DNS subordinado poderá continuar vulnerável a ataques de poluição da cache do DNS efectuados contra o servidor de DNS principal, caso esse servidor não tenha a protecção contra a poluição da cache do DNS activada. Por predefinição, os servidores de DNS da Microsoft, com o Windows 2000 Service Pack 3 ou posterior, que funcionem como principais numa relação subordinado-principal, executarão integralmente a protecção contra a poluição da cache. Por conseguinte, certifique-se de que todos os servidores de DNS de uma empresa têm a protecção contra a poluição da cache do DNS activada.
Mais Informação
AVISO: a utilização incorrecta do Editor de registo (Registry Editor) poderá provocar problemas graves que poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de registo (Registry Editor) possam ser resolvidos. Todo e qualquer risco decorrente da utilização do Editor de registo (Registry Editor) é da responsabilidade do utilizador.

Windows NT 4.0

No Windows NT 4.0 Service Pack 4 (SP4) ou posterior, um servidor de DNS baseado no Windows NT consegue filtrar as respostas destes registos não seguros.

Para activar esta funcionalidade:
  1. Inicie o Registry Editor (Regedt32.exe).
  2. Localize a seguinte chave no registo:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. No menu Edit, clique em Add Value e adicione o seguinte valor de registo:
    Nome do valor: SecureResponses
    Tipo de dados: REG_DWORD
    Valor: 1 (Para eliminar dados não seguros)
  4. Saia do Registry Editor.
Por predefinição, esta chave não existe e os dados não seguros não são eliminados das respostas.

Para obter informações adicionais, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
198409 Microsoft DNS Server Registry Parameters, Part 2 of 3

Windows 2000

Um servidor de DNS baseado no Windows 2000 consegue filtrar as respostas destes registos não seguros.

Para activar esta funcionalidade:
  1. Inicie o Editor de registo (Registry Editor) (Regedt32.exe).
  2. Localize a seguinte chave no registo:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
  3. No menu Editar (Edit), clique em Adicionar valor (Add Value) e adicione o seguinte valor de registo:
    Nome do valor: SecureResponses
    Tipo de dados: REG_DWORD
    Valor: 1 (Para eliminar dados não seguros)
  4. Saia do Editor de registo (Registry Editor).
Por predefinição, no Windows 2000 Service Pack 1 (SP1) e no Windows 2000 Service Pack 2 (SP2), esta chave não existe e os dados não seguros não são eliminados das respostas. Embora a protecção contra a poluição da cache do DNS esteja activada por predefinição no Windows 2000 SP3 e posterior, a chave de registo não existe e não é necessária. Esta chave de registo foi criada com o único objectivo de desactivar a protecção contra a poluição da cache do DNS.Para obter mais informações sobre a protecção contra a poluição da cache do DNS, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
316786 Description of the DNS Server Secure Cache Against Pollution Setting


Nota: no Windows 2000, pode efectuar a mesma entrada na GUI. Utilize os seguintes passos para o fazer:
  1. Abra a consola de gestão de DNS clicando em Iniciar (Start), Programas (Programs), Ferramentas administrativas (Adminstrative Tools) e DNS.
  2. Clique com o botão direito do rato no nome do servidor no painel esquerdo da janela.
  3. Seleccione Propriedades (Properties).
  4. Seleccione o separador Avançadas (Advanced).
  5. Coloque uma marca de verificação na caixa Proteger cache contra a poluição (Secure cache against pollution).

Windows 2003

A protecção contra a poluição da cache do DNS está activada por predefinição no Microsoft Windows 2003.

Para visualizar as definições de poluição da cache do DNS, utilize os seguintes passos:
  1. Abra a consola de gestão de DNS clicando em Iniciar, Todos os programas, Ferramentas administrativas e DNS.
  2. Clique com o botão direito do rato no nome do servidor no painel esquerdo da janela.
  3. Seleccione Propriedades.
  4. Seleccione o separador Avançadas.
  5. Confirme se a caixa de verificação Proteger cache contra a poluição está seleccionada.
Nota: no DNS do Windows 2003, a definição da chave de registo não existe, no entanto a definição está activada na GUI por predefinição. Também é possível verificar a definição actual executando o seguinte comando numa linha de comandos: Dnscmd /Info /SecureResponses
spoof corruption
Propriedades

ID do Artigo: 241352 - Última Revisão: 10/26/2005 20:07:00 - Revisão: 2.1

  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • kbinfo kbenv KB241352
Esta informação foi útil?