Utiliser une stratégie DNS pour l’application de filtres sur les requêtes DNS
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Vous pouvez utiliser cette rubrique pour apprendre à configurer une stratégie DNS dans Windows Server® 2016 afin de créer des filtres de requête basés sur les critères que vous fournissez.
Les filtres de requête dans la stratégie DNS vous permettent de configurer le serveur DNS pour répondre de manière personnalisée en fonction de la requête DNS et du client DNS qui envoie la requête DNS.
Par exemple, vous pouvez configurer une stratégie DNS avec une liste de blocages de filtre de requête qui bloque les requêtes DNS à partir de domaines malveillants connus, ce qui empêche DNS de répondre aux requêtes de ces domaines. Étant donné qu’aucune réponse n’est envoyée à partir du serveur DNS, la requête DNS du membre de domaine malveillant expire.
Un autre exemple consiste à créer une liste verte de filtre de requête qui autorise uniquement un ensemble spécifique de clients à résoudre certains noms.
Critères de filtre de requête
Vous pouvez créer des filtres de requête avec n’importe quelle combinaison logique (ET/OU/PAS) des critères suivants.
| Nom | Description |
|---|---|
| Sous-réseau client | Nom d’un sous-réseau client prédéfini. Permet de vérifier le sous-réseau à partir duquel la requête a été envoyée. |
| Protocole de transfert | Protocole de transport utilisé dans la requête. Les valeurs possibles sont UDP et TCP. |
| Internet Protocol | Protocole réseau utilisé dans la requête. Les valeurs possibles sont IPv4 et IPv6. |
| Adresse IP de l’interface serveur | Adresse IP de l’interface réseau du serveur DNS qui a reçu la requête DNS. |
| FQDN | Nom de domaine complet de l’enregistrement dans la requête, avec la possibilité d’utiliser un caractère générique. |
| Type de requête | Type d’enregistrement interrogé (A, SRV, TXT, etc.) |
| Heure du jour | Heure de la réception de la requête. |
Les exemples suivants vous montrent comment créer des filtres pour la stratégie DNS qui bloquent ou autorisent les requêtes de résolution de noms DNS.
Remarque
Les exemples de commandes de cette rubrique utilisent la commande Windows PowerShell Add-DnsServerQueryResolutionPolicy. Pour plus d’informations, consultez Add-DnsServerQueryResolutionPolicy.
Bloquer les requêtes d’un domaine
Dans certains cas, vous pouvez bloquer la résolution de noms DNS pour les domaines que vous avez identifiés comme malveillants ou pour les domaines qui ne sont pas conformes aux instructions d’utilisation de votre organisation. Vous pouvez effectuer des requêtes de blocage pour des domaines à l’aide d’une stratégie DNS.
La stratégie que vous configurez dans cet exemple n’est pas créée sur une zone particulière. Au lieu de cela, vous créez une stratégie au niveau du serveur qui est appliquée à toutes les zones configurées sur le serveur DNS. Les stratégies au niveau du serveur sont les premières à être évaluées et sont donc les premières à être mises en correspondance lorsqu’une requête est reçue par le serveur DNS.
L’exemple de commande suivant configure une stratégie au niveau du serveur pour bloquer toutes les requêtes avec le suffixe de domaine contosomalicious.com.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.contosomalicious.com" -PassThru
Remarque
Lorsque vous configurez le paramètre Action avec la valeur IGNORE, le serveur DNS est configuré pour supprimer les requêtes sans aucune réponse. Le client DNS dans le domaine malveillant expire alors.
Bloquer les requêtes à partir d’un sous-réseau
Avec cet exemple, vous pouvez bloquer les requêtes à partir d’un sous-réseau s’il est infecté par un programme malveillant et tente de contacter des sites malveillants à l’aide de votre serveur DNS.
` Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" -PassThru `
L’exemple suivant montre comment utiliser les critères de sous-réseau en combinaison avec les critères de nom de domaine complet pour bloquer les requêtes de certains domaines malveillants provenant de sous-réseaux infectés.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" –FQDN “EQ,*.contosomalicious.com” -PassThru
Bloquer un type de requête
Vous devrez peut-être bloquer la résolution de noms pour certains types de requêtes sur vos serveurs. Par exemple, vous pouvez bloquer la requête « ANY », qui peut être utilisée de manière malveillante pour créer des attaques d’amplification.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyQType" -Action IGNORE -QType "EQ,ANY" -PassThru
Autoriser les requêtes uniquement à partir d’un domaine
Vous pouvez non seulement utiliser la stratégie DNS pour bloquer les requêtes, mais également les utiliser pour approuver automatiquement des requêtes provenant de domaines ou de sous-réseaux spécifiques. Lorsque vous configurez des listes d’autorisation, le serveur DNS traite uniquement les requêtes provenant de domaines autorisés, tout en bloquant toutes les autres requêtes provenant d’autres domaines.
L’exemple de commande suivant autorise uniquement les ordinateurs et les appareils des domaines contoso.com et enfants à interroger le serveur DNS.
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com" -PassThru
Autoriser les requêtes uniquement à partir d’un sous-réseau
Vous pouvez également créer des listes vertes pour les sous-réseaux IP, afin que toutes les requêtes qui ne proviennent pas de ces sous-réseaux soient ignorées.
Add-DnsServerClientSubnet -Name "AllowedSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet” -Action IGNORE -ClientSubnet "NE, AllowedSubnet06" -PassThru
Autoriser uniquement certains QTYPE
Vous pouvez appliquer des listes vertes à QTYPE.
Par exemple, si vous avez des clients externes qui interrogent l’interface de serveur DNS 164.8.1.1, seuls certains QTYPE sont autorisés à être interrogés, tandis qu’il existe d’autres QTYPE, comme les enregistrements SRV ou TXT, qui sont utilisés par les serveurs internes à des fins de résolution de noms ou à des fins de surveillance.
Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,164.8.1.1” -PassThru
Vous pouvez créer des milliers de stratégies DNS en fonction de vos exigences de gestion du trafic, et toutes les nouvelles stratégies sont appliquées dynamiquement, sans redémarrer le serveur DNS, sur les requêtes entrantes.