Кто-либо может думать о способе препятствовать тому, чтобы клиент XP выполнил поиски DNS для внешних доменов?

То, что я сделал, было использовать мой брандмауэр для блокирования всей LAN к порту WAN 53 (DNS) трафик. Затем я настраиваю DHCP брандмауэра для выставления сервера DNS, он - IP-адрес (потому что он имеет кэширующийся встроенный прокси DNS). Затем я изменил записи DNS для блокирования некоторой рекламы и компаний маркетинга/отслеживания. В последний раз я установил брандмауэр для передачи запросов к OpenDNS и зарегистрированный в фильтрации и заблокировал содержание группой и добавленными исключительными ситуациями.

На самом деле, когда я сказал, что заблокировал порт 53, что я на самом деле сделал для создания задания бота, немного тяжелее, ограничивают идущий трафик портом (т.е. 80, 443...) к только, в чем я нуждался. Когда я получаю IP-адрес для закрепленной электронной почты (потому что они, кажется, изменяются время от времени), я ограничу их портом и IP, таким образом, в / никакой другой электронной почте не позволят.

Конфигурирование Ваших запросов DNS вниз к IP прокси и порту и блокирование всех других, вероятно, помогли бы некоторым.

Конечно, не забывайте рассматривать журналы, таким образом, Вы знаете, проверяло ли что-то действительно в к машине или если Вы блокируете что-то, что должно быть разблокировано.

Надеюсь, это поможет.

Когда-нибудь услышанный фраза, "Нарушенная Дизайном"?

DOE должен проснуться и понять, что при использовании Windows в сети с каким-либо видом внешнего доступа - неважно, сколько слоев защиты Вы прибавляете - Вы уже нарушены. Microsoft потратила состояние, делающее их программное обеспечение, которое в состоянии позвонить домой, и те методы разработаны для заканчивания любого вида защиты, которую Вы могли настроить.

Каждый текучий канал - от обновлений системы защиты, к 9 999 999 пакетам программного обеспечения автообновления, к безумной способности IE переписать Вашу ОС на лету, к удивительному числу секретной белки назад каналы передачи (как DNS и их собственная небольшая подкрутка на сервере времени окон) и так далее, пока Вы не понимаете, насколько бесполезный все это... Ну, каждый канал является потенциальной точкой входа в Вашу сеть.

Эта проблема - который становится проблемой национальной безопасности (теперь, когда лисы бродили по курятнику, поскольку им нравится с тех пор, как мальчики Balmer боролись для интегрирования Internet Explorer в ОС) состоит в том, что использование Windows - и теперь точечной Сети - стало "лучшей практикой". Проблема состоит в том, что это просто не может быть защищено, не используя воздушный зазор - значение сети, которая не подключена ни к какой WAN или интернет-источнику. Но даже самые яркие умы в различных комплектах оборудования TLA довольны притвориться, что этого никогда не будет происходить с их сетью.

Печальная вещь состоит в том, что это - тот же вид размышления, которое сделало Антивирусный бизнес многомиллиардной промышленностью. Если управление в MS не решило, что попытка выполнить/выполнить/оценить каждый байт данных, с которыми встречаются, была хорошей идеей, когда DOS 3 появился, мы не будем страдать от головных болей AVG/McAffee/Norton/Windows Защитника/и т.д. Если бы у Вас был двухлетний, то Вы учили бы это помещать все, во что это нашло на тротуаре, он - рот? Microsoft не изобрела троянца/вирус, но они сделали больше для распространения их, чем кто-либо, возможно, мечтал о. Но я отступаю.

Несмотря на это, фиксация легка. Почти. Вставьте Linux или поле Unix BSD. Отключите все сервисы кроме DNS и скажите серверу DNS, что он может только решить для того, что Вы вставили конфигурацию и возможно выглядите восходящими к полю AD для локальных или локальных доменных адресов - использование поля Linux для отфильтровывания всего остального. Затем твердый код поле DNS в как сервер для чего-либо Вы хотите заблокировать вниз.

Вы передадите свой аудит DOE с развевающимися знаменами. Плохие новости - то, что аудиты DOE являются примерно столь же сложными и всесторонними как они другой аудит theatricals с броскими названиями как SAS-70. Как большинство программ обеспечения безопасности, они больше вроде полных защит, чем вооруженная защита. Если Вы выполняете сеть окон, и у Вас есть пользователи, использующие Internet Explorer, или Windows Search, или Chrome или Google Desktop, или независимо от того, что им удалось быть установленными - Ваша безопасность является совершенно мнимой. Windows IS основной вектор - не потому что это распространено, но потому что он нарушен дизайном.

Необходимо реализовать что-то как мозговой разделением DNS. Для Вашей установки можно начать получать идеи здесь.

То, что эта страница теперь обнаруживается второй в Google для Вашей предложенной поисковой фразы, предполагает, что это не значительный вектор атаки.

К настоящему времени старшее значащее использование DNS по сути было как псевдо канал C&C червем Conficker. В этом случае часто меняющие доменные имена однако только использовались, чтобы разрешить загрузку обновлений червя а не непосредственно управлять им. Следовательно блокирование веб-доступа к клиентам было достаточно для срыва того вектора.

Если действительно необходимо сделать это, Вы могли бы найти то, в чем Вы нуждаетесь в local-zone функции Несвязанного рекурсивного сопоставителя, чтобы передать Ваш локальный домен AD серверу и отклонить все остальное. Необходимо было бы настроить клиенты XP для использования того сервера вместо существующего AD сервера.

joeqwerty - не совсем. Мы - американская компания и недавно контролировались Office "американского Министерства энергетики Ядерной энергии". Этот вектор атаки (Вектор командования и управления) является одним из, "должен зафиксировать" записи в аудите. Но спасибо за ответ.