Windows Server имеет в себе функцию блокировки DNS запросов пользователей, которые могут повлиять на механизм автоматического обнаружения ISA Server при реализации WPAD с помощью DNS Server на базе Windows Server.
Принцип работы данного метода представляет собой запрос к глобальному черному списку. Эта функция призвана уменьшить уязвимость, связанную с динамическим обновлением DNS.
Динамическое обновление позволяет DNS-клиентам при регистрации на DNS сервер обновлять записи ресурсов. когда клиент меняет сой сетевой адрес или имя хоста. Это уменьшает необходимость в ручном управлении записей DNS зоны, особенно для клиентов которые часто меняют свое местоположение и используют протокол DHCP для получения IP-адреса. Это очень удобно, однако, поскольку авторизированный клиент может зарегистрировать любое неиспользуемое имя хоста и даже имя, которое может иметь особое значение для некоторых приложений. Злоумышленник может использовать специальное имя и получить себе определенный траффик пользователей. WPAD является уязвимым протоколом и по умолчанию данная функция в windows server блокируется.
Если вы хотите использовать WPAD в своей корпоративной среде, вам необходимо отключить блокировку данного запроса. Для этого введите команду:
dnscmd /config /enableglobalqueryblocklist 0
Так же вы можете использовать следующий набор команд для работы с глобальным списком блокировок:
- Чтобы проверить, включена ли блокировка глобальных запросов, введите следующую команду:
dnscmd /info /enableglobalqueryblocklist
- Чтобы просмотреть имена узлов в текущем черном списке, введите следующую команду:
dnscmd /info /globalqueryblocklist
- Чтобы включить черный список (при этом служба DNS-сервера будет игнорировать запросы на узлы из этого списка), введите следующую команду:
dnscmd /config /enableglobalqueryblocklist 1
- Чтобы удалить имена всех узлов из черного списка, введите следующую команду:
dnscmd /config /globalqueryblocklist
- Чтобы заменить текущий черный список списком других конкретных имен, введите следующую команду:
dnscmd /config /globalqueryblocklist name [name]…