Table of contents
TOC
İçindekiler tablosunu daralt
İçindekiler tablosunu genişlet

DNS ilke üzerinde DNS sorgular filtre uygulamak için kullanın.

James McIllece|Son Güncellenme Tarihi: 10.03.2017
|
1 Katkıda Bulunan

İçin geçerlidir: Windows Server 2016

Bu konuda DNS ilkesi yapılandırma hakkında bilgi edinmek için kullanabileceğiniz Windows Server® sağladığınız ölçüte dayalı sorgu filtreleri oluşturmak için 2016.

İlke DNS sorgusu filtreleri DNS sorgusu ve DNS sorgusu gönderir DNS istemci dayalı özel bir şekilde yanıt vermek için DNS sunucusunu yapılandırmak izin verir.

Örneğin, bu alanlarından sorgular yanıt vermeyi önleyen DNS sorgusu engelleme listesine engelleyen filtresi bilinen kötü amaçlı alanlarından, DNS sorgular ile DNS ilke yapılandırabilirsiniz. DNS sunucudan yanıt gönderilir olduğundan kötü amaçlı etki alanı üyesinin DNS sorgusu zaman aşımına.

Bir sorgu filtresi istemcileri belirli adları çözmek için belirli bir dizi izin veren izin ver listesi oluşturmak için başka bir örnek verilebilir.

Filtre ölçütlerini

Aşağıdaki ölçütlerini (ve/veya/DEĞİL) ile mantıksal herhangi bir bileşimde sorgusu filtreleri oluşturabilirsiniz.

AdıAçıklama
İstemci altÖnceden tanımlanmış istemci alt adı. Sorgu gönderilen alt doğrulamak için kullanılır.
Aktarım ProtokolüAktarım Protokolü'da sorgu kullanılan. Olası değerleri UDP ve TCP vardır.
Internet Protokolü' Da sorgu kullanılan ağ protokolü. Olası değerleri IPv4 ve IPv6 vardır.
Sunucu arabirimi IP adresiDNS istek aldı DNS sunucusunu ağ arabiriminin IP adresi
FQDNTamamen tam etki alanı adı sorgu kaydında ile Vahşi kartı kullanarak olanağına.
Sorgu türüSorgulanan kayıt türünü (A, SRV, TXT, vb..)
SaatiGünün saatine sorgusu aldı.

Aşağıdaki örnekler DNS ilke için filtreler, ya da engelleme oluşturmak veya DNS ad çözünürlüğü sorgular izin vermek nasıl gösterir.

Not

Bu konudaki örnek komutlar Windows PowerShell komutunu kullanın Ekle DnsServerQueryResolutionPolicy. Daha fazla bilgi için bkz: Ekle DnsServerQueryResolutionPolicy.

Bir etki alanından sorgular engelleme

Bazı durumlarda, DNS ad çözünürlüğü, kuruluşunuzun kullanım yönergeleri ile uyumlu olmayan etki alanları veya kötü amaçlı olarak tanımladınız etki alanları için engellemek isteyebilirsiniz. DNS ilke kullanarak engelleme sorgular etki alanları için gerçekleştirebilirsiniz.

Herhangi bir alan üzerinde bu örnek yapılandırmanız ilke oluşturulur değil – bunun yerine, tüm bölgeler DNS sunucusunda yapılandırılan uygulanan sunucu düzeyi ilkesi oluşturun. Sunucu düzeyi ilkeleri değerlendirilecektir ilk olan ve bu nedenle ilk sorgusu eşleştirilir için DNS sunucusu tarafından alındığında.

Aşağıdaki örnek komut etki alanı ile yaptığınız sorgular engellemek için sunucu düzeyi ilkesi yapılandırır son ek contosomalicious.com.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.contosomalicious.com" -PassThru

Not

Yapılandırdığınızda işlem parametre değeri ile YOKSAY, DNS sunucu yanıt sorgular hiç bırakarak yapılandırılır. Bu DNS istemcisi kötü amaçlı etki zaman aşımına neden olur.

Bir alt sorgular engelleme

Bu örnek ile tarafından bazı kötü amaçlı yazılım bulaşmış bulunur ve kötü amaçlı siteleri, DNS sunucusunu kullanarak bağlantı kurmaya bir alt sorgular engelleyebilirsiniz.

` Add-DnsServerClientSubnet-adı "MaliciousSubnet06"-IPv4Subnet 172.0.33.0/24 - geçiş

Add-DnsServerQueryResolutionPolicy-Name "BlockListPolicyMalicious06"-işlem YOKSAY - ClientSubnet "EQ, MaliciousSubnet06" - geçiş `

Aşağıdaki örnek nasıl alt kriterler FQDN kriterler ile birlikte gelen etkilenen alt kötü amaçlı belirli etki alanları için sorgular engellemek için kullanabilirsiniz gösterir.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" –FQDN “EQ,*.contosomalicious.com” -PassThru

Bir sorgu engelleme

Ad çözünürlüğü sorgu, sunucular üzerinde belirli türleri için engellemek gerekebilir. Örneğin, kötü amaçlı olarak yükseltme saldırılara oluşturmak için kullanılabilecek 'HERHANGİ' sorgusu, engelleyebilirsiniz.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyQType" -Action IGNORE -QType "EQ,ANY" -PassThru

Yalnızca bir etki alanından sorgular izin ver

Yalnızca DNS ilke engelleme sorgular için kullanamazsınız, otomatik olarak belirli etki alanları veya alt sorgular onaylamak için kullanabilirsiniz. İzin listeler yapılandırdığınızda DNS sunucusunu diğer etki alanlarındaki tüm sorgular engellenmesini izin verilen alanlarından sorgular yalnızca işler.

Aşağıdaki örnek komut yalnızca bilgisayarlar ve aygıtlar contoso.com ve alt etki alanları için DNS sunucusunu sorgu sağlar.

Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com" -PassThru

Yalnızca bir alt gelen sorgular izin ver

Böylece bu alt ağlar kaynaklanan değil tüm sorgular sayılır izin listeler IP alt ağlar için oluşturabilirsiniz.

Add-DnsServerClientSubnet -Name "AllowedSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThruAdd-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet” -Action IGNORE -ClientSubnet "NE, AllowedSubnet06" -PassThru

Yalnızca belirli QTypes izin ver

QTYPEs için izin listeler uygulayabilirsiniz.

Örneğin, harici DNS sunucusunu arabirimi 164.8.1.1 sorgulama müşteriler varsa, yalnızca belirli QTYPEs iç sunucular tarafından ad çözünürlüğü için veya izleme amacıyla kullanılan SRV veya TXT kayıt gibi diğer QTYPEs çalışırken, sorgulanacak izin verilir.

Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,164.8.1.1” -PassThru

Tüm yeni ilkeler, dinamik olarak - uygulanır DNS sunucusunu yeniden başlatmadan - gelen sorgular açık ve Yönetimi gereksinimleri göre trafik DNS ilkeleri binlerce oluşturabilirsiniz.

© 2017 Microsoft