Windows Server — блокировка запросов WPAD

Добавить комментарий

Windows Server имеет в себе функцию блокировки DNS запросов пользователей, которые могут повлиять на механизм автоматического обнаружения ISA Server при реализации WPAD с помощью DNS Server на базе Windows Server.

Принцип работы данного метода представляет собой  запрос к глобальному  черному списку. Эта функция призвана уменьшить уязвимость, связанную с динамическим обновлением DNS.

Динамическое обновление позволяет DNS-клиентам при регистрации на DNS сервер обновлять записи ресурсов. когда клиент меняет сой сетевой адрес или имя хоста. Это уменьшает необходимость в ручном управлении записей DNS зоны, особенно для клиентов которые часто меняют свое местоположение и используют протокол DHCP для получения IP-адреса. Это очень удобно, однако, поскольку авторизированный клиент может зарегистрировать любое неиспользуемое имя хоста и даже имя, которое может иметь особое значение для некоторых приложений. Злоумышленник может использовать специальное имя и получить себе определенный траффик пользователей. WPAD является уязвимым протоколом и по умолчанию данная функция в windows server блокируется.

Если вы хотите использовать WPAD в своей корпоративной среде, вам необходимо отключить блокировку данного запроса. Для этого введите команду:

dnscmd /config /enableglobalqueryblocklist 0

Так же вы можете использовать следующий набор команд для работы с глобальным списком блокировок:

  • Чтобы проверить, включена ли блокировка глобальных запросов, введите следующую команду:

dnscmd /info /enableglobalqueryblocklist

  • Чтобы просмотреть имена узлов в текущем черном списке, введите следующую команду:

dnscmd /info /globalqueryblocklist

  • Чтобы включить черный список (при этом служба DNS-сервера будет игнорировать запросы на узлы из этого списка), введите следующую команду:

dnscmd /config /enableglobalqueryblocklist 1

  • Чтобы удалить имена всех узлов из черного списка, введите следующую команду:

dnscmd /config /globalqueryblocklist

  • Чтобы заменить текущий черный список списком других конкретных имен, введите следующую команду:

dnscmd /config /globalqueryblocklist name [name]…

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *