Global Query Block List ve Kullanımı

Bu özellik bir güvenlik güncelleştirmesi ile birlikte önceki DNS sunucu sürümlerine de yüklenebilmektedir: KB968732

  • Buradaki amaç kötü niyetli kişilerin bazı özel isimleri DNS’e kaydetmesini engellemektir. Etki alanında yetkili her kullanıcı kullandığı sisteme istediği ismi verebilir, tabii ki aksini söyleyen bir şirket politikası yoksa. Bu durumda örneğin bir kullanıcı sistemine WPAD adını verebilir. WPAD (Web Proxy Auto-discovery Protocol) yani Web Proxy Otomatik Bulma Protokolü Internet Explorer tarafından kullanılan ve bir Web Proxy sunucusu bulmaya yarayan protokoldür. Eğer siz WPAD isminde bir sistemi DNS’e kaydederseniz, tüm IE kullanıcılarını o sistem üzerinden Internet’e çıkmaya zorlayabilirsiniz. Bunu engellemek için yöneticiler genelde WPAD isminde herhangi bir IP’yi adreslemeyen kayıt oluştururlar. Aynı durum ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) için de geçerlidir. IPv6 istemciler WPAD yöntemine benzer şekilde ISATAP sunucuları ararlar.
  • Basitçe bu yeni özellik GlobalQueryBlockList adında bir listenin oluşturulması ve varsayılan olarak, eğer etki alanında kayıtlı değilse, WPAD ile ISATAP isimlerinin buraya eklenmesidir. Bu listeye tabii ki çözümlenmesi istenmeyen diğer isimler de eklenebilir. İsminden de anlaşılacağı gibi Global bir listedir ve o DNS sunucusu üzerinde yüklenen tüm zone’lar için geçerlidir. GlobalNames örneğinde olduğu gibi bu sefer de tüm kullanıcıların WEBO ismindeki sisteme erişmesini engellemek isterseniz, ismi bu listeye ekleyip DNS servisini yeniden başlatmanız yeterlidir.

Nasıl kullanıyoruzderseniz aşağıdaki komut setleri yardımı ile kullanabiliriz

Görüntüleme

dnscmd <ServerName> /info /enableglobalqueryblocklist

Açma – Kapama

dnscmd [<ServerName>] /config /enableglobalqueryblocklist 0|1

Kayıt Ekleme

dnscmd [<ServerName>] /config /globalqueryblocklist [<name> [<name>]…]