Global Query Block List
La funzionalità Global Query Block List permette di prevenire attacchi alla rete bloccando alcune query DNS per nomi host specifici, ed è stata introdotta da Microsoft in Windows Server 2008 (per maggiori informazioni è possibile consultare la pagina TechNet) e in Windows Server 2003 a partire dalla versione 5.2.3790.4460 del Servizio DNS (KB961063).
Questa funzionalità non crea nessun problema fino a quando non si cerca di risolvere uno dei due nomi che sono bloccati di default:
- wpad
- isatap
in particolar modo se proviamo a risolvere wpad.dominio.local otteniamo l’errore:
nslookup wpad.dominio.local
Server: UnKnown
Address: 172.16.16.11*** UnKnown can’t find wpad.dominio.local: Non-existent domain
e nel registro degli eventi viene registrato questo errore:
Per modificare gli host e per abilitare/disabilitare questa funzionalità è possibile usare il Registro di sistema oppure il prompt dei comandi.
Registro di sistema
Nel registro sono disponibili due chiavi, una serve per abilitare le Global Query Block List e l’altra definisce gli host bloccati.
- Abilitare o disabilitare la Global Query Block List
- Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
- Name: EnableGlobalQueryBlockList
- Type: REG_DWORD (DWORD Value)
- Data: 1=Abilitate, 0=Disabilitate
- Gestire la Global Query Block List
- Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
- Name: GlobalQueryBlockList
- Type: REG_MULTI_SZ (Multi-String Value)
- Data: wpad isatap
Prompt dei comandi
Le stesse modifiche al DNS si possono apportare con il comando dnscmd, una volta aperto un prompt dei comandi le opzioni sono:
- Verificare se la Global Query Block List è abilitata o no:
- dnscmd /info /enableglobalqueryblocklist
- Visualizzare gli host name che sono nella block list:
- dnscmd /info /globalqueryblocklist
- Disabilitare la Global Query Block List:
- dnscmd /config /enableglobalqueryblocklist 0
- Abilitare la Global Query Block List:
- dnscmd /config /enableglobalqueryblocklist 1
- Cancellare tutti gli host dalla block list:
- dnscmd /config /globalqueryblocklist
- Sostituire la block list con una nuova lista di hostname:
- dnscmd /config /globalqueryblocklist name [name]…
Le modifiche apportate tramite il comando dnscmd sono attive immediatamente, per quelle apportate tramite il Registro è necessario riavviare il servizio DNS.