Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile usare questo argomento per informazioni su come configurare i criteri DNS in Windows Server® 2016 per creare filtri di query basati sui criteri forniti.
I filtri di query nei criteri DNS consentono di configurare il server DNS per rispondere in modo personalizzato in base alla query DNS e al client DNS che invia la query DNS.
Ad esempio, è possibile configurare criteri DNS con filtro query Block List che blocca le query DNS da domini dannosi noti, che impedisce al DNS di rispondere alle query da questi domini. Poiché non viene inviata alcuna risposta dal server DNS, si verifica il timeout della query DNS del membro del dominio dannoso.
Un altro esempio consiste nel creare un filtro di query Allow List che consente solo a un set specifico di client di risolvere determinati nomi.
Criteri di filtro delle query
È possibile creare filtri di query con qualsiasi combinazione logica (AND/OR/NOT) dei criteri seguenti.
| Nome | Descrizione |
|---|---|
| Subnet client | Nome di una subnet del client predefinito. Utilizzato per verificare la subnet da cui la query è stata inviata. |
| Protocollo di trasporto | Il trasporto di protocollo utilizzato nella query. I valori possibili sono UDP e TCP. |
| Internet Protocol | Protocollo di rete utilizzato nella query. I valori possibili sono IPv4 e IPv6. |
| Indirizzo IP dell'interfaccia server | Indirizzo IP dell'interfaccia di rete del server DNS che ha ricevuto la richiesta DNS. |
| FQDN | Nome di dominio completo del record nella query, con la possibilità di usare un carattere jolly. |
| Tipo di query | Tipo di record sottoposto a query (A, SRV, TXT e così via). |
| Ora del giorno | Ora del giorno che viene ricevuta la query. |
Gli esempi seguenti illustrano come creare filtri per i criteri DNS che bloccano o consentono query di risoluzione dei nomi DNS.
Nota
I comandi di esempio in questo argomento usano il comando di Windows PowerShell Add-DnsServerQueryResolutionPolicy. Per ulteriori informazioni, vedere Aggiungi DnsServerQueryResolutionPolicy.
Bloccare le query da un dominio
In alcune circostanze è possibile bloccare la risoluzione dei nomi DNS per i domini identificati come dannosi o per i domini che non sono conformi alle linee guida sull'utilizzo dell'organizzazione. È possibile eseguire query di blocco per i domini usando i criteri DNS.
I criteri configurati in questo esempio non vengono creati in alcuna zona specifica, ma vengono creati criteri a livello di server applicati a tutte le zone configurate nel server DNS. I criteri a livello di server sono i primi a essere valutati e quindi i primi a essere confrontati quando una query viene ricevuta dal server DNS.
Il comando di esempio seguente configura un criterio a livello di server per bloccare le query con il suffisso di dominio contosomalicious.com.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.contosomalicious.com" -PassThru
Nota
Quando si configura il parametro Azione con il valore RIFIUTA, il server DNS è configurato per eliminare le query senza risposta. In questo modo si verifica il timeout del client DNS nel dominio dannoso.
Bloccare le query da una subnet
Con questo esempio, è possibile bloccare le query da una subnet se viene rilevata l'infezione da alcuni malware e sta tentando di contattare siti dannosi usando il server DNS.
` Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" -PassThru `
L'esempio seguente illustra come usare i criteri di subnet in combinazione con i criteri FQDN per bloccare le query per determinati domini dannosi da subnet infette.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" –FQDN “EQ,*.contosomalicious.com” -PassThru
Bloccare un tipo di query
Potrebbe essere necessario bloccare la risoluzione dei nomi per determinati tipi di query nei server. Ad esempio, è possibile bloccare la query "ANY", che può essere usata in modo dannoso per creare attacchi di amplificazione.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyQType" -Action IGNORE -QType "EQ,ANY" -PassThru
Consentire query solo da un dominio
Non è possibile usare solo i criteri DNS per bloccare le query, è possibile usarli per approvare automaticamente le query da domini o subnet specifiche. Quando si configurano elenchi consentiti, il server DNS elabora solo le query dai domini consentiti, bloccando tutte le altre query da altri domini.
Il comando di esempio seguente consente solo a computer e dispositivi nei domini contoso.com e domini secondari di eseguire query sul server DNS.
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com" -PassThru
Consentire query solo da una subnet
È anche possibile creare elenchi consentiti per le subnet IP, in modo che tutte le query non provenienti da queste subnet vengano ignorate.
Add-DnsServerClientSubnet -Name "AllowedSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet” -Action IGNORE -ClientSubnet "NE, AllowedSubnet06" -PassThru
Consentire solo determinati QType
È possibile applicare elenchi consentiti a QTYPE.
Ad esempio, se si dispone di clienti esterni che eseguono query su interfaccia server DNS 164.8.1.1, è possibile eseguire query solo su determinati QTYPE, mentre sono presenti altri record QTYP Come SRV o TXT usati dai server interni per la risoluzione dei nomi o per scopi di monitoraggio.
Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,164.8.1.1” -PassThru
È possibile creare migliaia di criteri DNS in base del traffico di gestione e tutti i nuovi criteri vengono applicati in modo dinamico, senza il riavvio del server DNS, per le query in ingresso.