Global Query Block List

La funzionalità Global Query Block List permette di prevenire attacchi alla rete bloccando alcune query DNS per nomi host specifici, ed è stata introdotta da Microsoft in Windows Server 2008 (per maggiori informazioni è possibile consultare la pagina TechNet) e in Windows Server 2003 a partire dalla versione 5.2.3790.4460 del Servizio DNS (KB961063).

Questa funzionalità non crea nessun problema fino a quando non si cerca di risolvere uno dei due nomi che sono bloccati di default:

  • wpad
  • isatap

in particolar modo se proviamo a risolvere wpad.dominio.local otteniamo l’errore:

nslookup wpad.dominio.local
Server:  UnKnown
Address:  172.16.16.11

*** UnKnown can’t find wpad.dominio.local: Non-existent domain

e nel registro degli eventi viene registrato questo errore:

image

Per modificare gli host e per abilitare/disabilitare questa funzionalità è possibile usare il Registro di sistema oppure il prompt dei comandi.

Registro di sistema

Nel registro sono disponibili due chiavi, una serve per abilitare le Global Query Block List e l’altra definisce gli host bloccati.

  • Abilitare o disabilitare la Global Query Block List
    • Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
    • Name: EnableGlobalQueryBlockList
    • Type: REG_DWORD (DWORD Value)
    • Data: 1=Abilitate, 0=Disabilitate
  • Gestire la Global Query Block List
    • Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
    • Name: GlobalQueryBlockList
    • Type: REG_MULTI_SZ (Multi-String Value)
    • Data: wpad isatap

Prompt dei comandi

Le stesse modifiche al DNS si possono apportare con il comando dnscmd, una volta aperto un prompt dei comandi le opzioni sono:

  • Verificare se la Global Query Block List è abilitata o no:
    • dnscmd /info /enableglobalqueryblocklist
  • Visualizzare gli host name che sono nella block list:
    • dnscmd /info /globalqueryblocklist
  • Disabilitare la Global Query Block List:
    • dnscmd /config /enableglobalqueryblocklist 0
  • Abilitare la Global Query Block List:
    • dnscmd /config /enableglobalqueryblocklist 1
  • Cancellare tutti gli host dalla block list:
    • dnscmd /config /globalqueryblocklist
  • Sostituire la block list con una nuova lista di hostname:
    • dnscmd /config /globalqueryblocklist name [name]…

Le modifiche apportate tramite il comando dnscmd sono attive immediatamente, per quelle apportate tramite il Registro è necessario riavviare il servizio DNS.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *