Windows 7上的DNS本地域反欺騙?
[英]DNS local domain anti-spoofing on Windows 7?
問題描述
我正在尋找一種自定義Windows 7上DNS解析策略的方法,如下所示:
1)對於某些專用域,應將請求轉發到我選擇的安全服務器(可能通過VPN連接)。 2)對於所有其他請求,它們應按常規方式通過Windows DNS解析系統傳播(即,來自DHCP的DNS服務器,以綁定順序等)。
主要動力是保護此私有域免受欺騙(例如,如果我連接到友好的免費WiFi熱點,該熱點將所有主機名轉發到某個代理,導致我的私有連接請求定向到星巴克的網關服務器,方便地位於非私有IP塊中-從而也穿過我的防火牆)。
我研究了一些解決方案; 最有前途的似乎是在我的系統上運行一個個人可配置的DNS轉發器,並在綁定列表的頂部帶有一個127.0.0.1作為靜態DNS條目的kludge虛擬適配器。 這應強制所有DNS請求通過我的轉發器,然后轉發器可以根據需要過濾和處理私有域請求。 問題在於處理剩余的請求。 將它們傳遞回Windows DNS堆棧似乎只會產生一個無限的轉發循環,而且沒有實現(據我所知)具有特殊功能,例如從Windows DHCP收集DNS服務器條目(除了虛擬條目)並嘗試他們一個接一個。
讓本地轉發器保持沉默似乎是一個部分解決方案,因為Windows會繼續嘗試其他DNS服務器。 令人擔心的是,Windows在“智能化”時可能會決定在以后的請求中也跳過本地轉發器。 此外,還有一個問題是,每個新的DNS請求都會導致〜2秒的超時,這很不幸。 NXDOMAIN響應將不起作用,因為這將具有約束力(即Windows將不會繼續嘗試其余服務器)。
附帶說明一下,不幸的是,在鏈的末尾使用公共DNS服務器(例如OpenDNS等)也無法正常工作-碰巧的是,我的筆記本電腦還連接到其他擁有自己的私有DNS的私有網絡服務器和內部主機名,當然由DHCP提供服務-我想避免為此設置盡可能多的手動配置。
還嘗試為我的域設置DNSSEC,直到我意識到Windows 7很好地包括DNSSEC支持,但沒有驗證程序。 由於它僅遵循其本地友好的DNS服務器設置的“身份驗證”位,因此顯然不會對欺騙者產生太大影響。
TLDR:我想插入一些自定義處理,以將我的個人域的DNS轉發到個人服務器,但將所有其他DNS處理保留為Windows的默認行為。 有人提示嗎?
編輯:作為附錄,應注意,我正在尋找系統范圍的解決方案,而不僅僅是Firefox-有問題的連接是文件共享以及其他服務。
1 個解決方案
解決方案1
1 已采納 2011-11-22 20:24:34
立即找到答案-Windows 7和Server 2008R2顯然都包含名稱解析策略表,該功能僅用於此目的,用於指導和保護按域名(和/或前綴)過濾的DNS查詢。 我聽說它支持通過域名啟用DNSSEC,但是我還沒有發現它還支持直接訪問策略(即,指定一組特定的DNS服務器以查詢特定域,正是我想要的)。 剛剛經過測試,並且NRPT策略與相關的防火牆設置結合使用會阻止域名,除非直接連接到專用網絡。 自我回答,但將信息留在這里供其他人參考(似乎對保護便攜式計算機設備的人來說是一個非常有用的功能)。
Consul.IO - 如何在本地網絡中為DNS查找提供公共服務域
[英]Consul.IO - How to public service domain in local network for DNS Lookup
如何確定Windows標識是對應於本地用戶還是域用戶?
[英]How can I determine if a Windows Identity corresponds to a local or a domain user?
是否有 Windows C++ API 來驗證 Windows 用戶名/域名是否是本地計算機上的有效帳戶(沒有密碼)?
[英]Is there a Windows C++ API to validate Windows username/domain name is a valid account on the local machine (without the password)?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.