Pular para o conteúdo principal

Habilitar a lista de bloqueio de consultas DNS global (Global Query Blocklist)



A Microsoft criou esse recurso no Windows Server 2008 e desde então, o padrão é estar bloqueado. As consultas DNS para fora da organização poderiam ser interceptadas num ataque do tipo “man-in-the-middle” e assim podendo alterar o registro do WPAD para um proxy fake.

 Para habilitar a lista de bloqueio de consultas globais (Global Query Blocklist) no serviço de Servidor DNS é possível utilizar o PowerShell ou o CMD.


POWERSHELL

Você pode utilizar o cmdlet Set-DnsServerGlobalQueryBlockList e o parâmetro -Enable $TrueO servidor DNS já tem uma lista de bloqueio padrão, mas você pode adicionar ou remover nomes específicos. 

Passos:
  1. Abra o PowerShell como administrador: Vá no menu Iniciar, procure por "PowerShell", clique com o botão direito e selecione "Executar como administrador".
  2. Habilite a lista de bloqueio: Utilize o seguinte comando para habilitar a lista de bloqueio global: 
Código
   Set-DnsServerGlobalQueryBlockList -Enable $True
  1. (Opcional) Adicione nomes à lista de bloqueio: Use o comando Add-DnsServerGlobalQueryBlockList para adicionar nomes específicos. Por exemplo:
Código
   Set-DnsServerGlobalQueryBlockList -List "exemplo.com", "outroexemplo.net"
  1. (Opcional) Visualize a lista de bloqueio: Use o comando Get-DnsServerGlobalQueryBlockList para verificar os nomes atualmente bloqueados:
Código
   Get-DnsServerGlobalQueryBlockList
  1. (Opcional) Remova nomes da lista de bloqueio: Use o comando Remove-DnsServerGlobalQueryBlockList para remover nomes específicos. Por exemplo:
Código
   Remove-DnsServerGlobalQueryBlockList -Name "exemplo.com"
  1. (Opcional) Desabilite a lista de bloqueio: Se precisar desabilitar a lista de bloqueio, utilize:
Código
   Set-DnsServerGlobalQueryBlockList -Enable $False
CMD
Você deve usar o comando dnscmd /config /enableglobalqueryblocklist 1 em um prompt de comando elevado. Para verificar se a lista de bloqueio está habilitada e quais nomes estão bloqueados, use o comando dnscmd /info /globalqueryblocklist. 
Passos detalhados:
  1. 1. Abra o prompt de comando como administrador:
    Clique no botão Iniciar, digite "cmd", clique com o botão direito em "Prompt de Comando" e selecione "Executar como administrador". 
  2. 2. Habilite a lista de bloqueio:
    Digite o comando dnscmd /config /enableglobalqueryblocklist 1 e pressione Enter. Isso garante que o serviço do Servidor DNS não responda a consultas para nomes que estão na lista de bloqueio global. 
  3. 3. Verifique a lista de bloqueio:
    Digite o comando dnscmd /info /globalqueryblocklist e pressione Enter para ver os nomes de host que estão atualmente na lista de bloqueio global. 
  4. 4. (Opcional) Desabilite a lista de bloqueio:
    Se você precisar desabilitar a lista de bloqueio, use o comando dnscmd /config /enableglobalqueryblocklist 0. 
  5. 5. Reinicie o serviço DNS:
    Após habilitar ou desabilitar a lista de bloqueio, pode ser necessário reiniciar o serviço de Servidor DNS para que as alterações tenham efeito. Você pode fazer isso usando o Gerenciador de Serviços ou o PowerShell. 
Observações:
  • A lista de bloqueio global é usada para impedir que o servidor DNS resolva nomes de domínio específicos, o que pode ser útil para bloquear acesso a sites maliciosos ou indesejados. 
  • Por padrão, a lista de bloqueio global inclui alguns nomes comuns como "WPAD" e "ISATAP". 
  • Você pode adicionar ou remover nomes da lista de bloqueio global usando o comando dnscmd /config /globalqueryblocklist com a lista de nomes desejada. 
Exemplo:
Se você quiser adicionar o domínio "example.com" à lista de bloqueio, você usaria o seguinte comando:
Código
dnscmd /config /globalqueryblocklist example.com
E para remover o domínio, você usaria:
Código
dnscmd /config /globalqueryblocklist
Lembre-se de que a manipulação da lista de bloqueio global pode afetar o funcionamento de alguns aplicativos e serviços, então, tenha cuidado ao fazer alterações. 



Observações:
  • A lista de bloqueio global funciona para impedir que o servidor DNS resolva nomes específicos, o que pode ser útil para bloquear sites maliciosos ou sites indesejados. 
  • O serviço DNS já cria e habilita a lista de bloqueio por padrão ao ser iniciado pela primeira vez. 
  • Você pode usar o cmdlet dnscmd /info /globalqueryblocklist para visualizar a lista de bloqueio, mas este comando é mais adequado para sistemas mais antigos ou ambientes que não usam o PowerShell. 
  • Monitorar o desempenho do servidor DNS é importante ao habilitar a lista de bloqueio, especialmente se você estiver usando a lista de bloqueio para bloquear um grande número de nomes. 

Comentários

Postar um comentário

Postagens mais visitadas deste blog

O que são FSMO - Flexible Single-Master Operation.

O Active Directory ou apenas AD é  o repositório central no qual todos os objetos de uma rede de computadores empresarial e seus respectivos atributos são armazenados. É um banco de dados hierárquico que pode armazenar milhões de objetos e as alterações nestes objetos podem ser processadas por qualquer servidor do AD, chamados de  controladores de domínio* . *No dia a dia de trabalho, muitas vezes nos referimos aos controladores de domínio, pelo termo em inglês, Domain Controller ou a sua sigla, DC. Leia também:  Active Directory e Microsoft Entra ID: A base do gerenciamento de identidade e acesso. As funções FSMO desempenham um papel fundamental na integridade do AD.  O Active Directory  fornece a flexibilidade de permitir que as alterações ocorram em qualquer controlador de domínio e a maneira que o AD lida com atualizações conflitantes é ter um algoritmo de resolução de conflitos, no qual as últimas alterações gravadas prevalecem.   Embora esse méto...
Postar um comentário
Leia mais »

Como transferir as FSMO no Windows Server

Um dos maiores medos de um administrador é perder os controladores de domínio que tem as FSMO - Flexible Single-Master Operation, m as não se preocupe tanto, porque há como transferi-las, mesmo perdendo definitivamente o servidor. Neste tutorial vamos abordar exclusivamente a transferência das FSMO com o utilitário Ntdsutil.exe pelo prompt de comando. Antes de transferir as FSMO, lembre-se que: A possibilidade de transferência não exclui a necessidade de backup dos Windows Servers do Active Directory. Recomenda-se manter as funções Domain Naming Master e Schema Master no mesmo DC, que deve ser um  servidor  de Catálogo Global (GC) simultaneamente; Se você perdeu o servidor com a função Schema Master, poderá   atribuir essa função a qualquer outro controlador de domínio   .  Mas tenha em mente que o Schema Master original não deverá aparecer na rede depois disso; Se você chegou aqui e não sabe o que são FSMO e a importância de cada uma das funções, leia o artig...
Postar um comentário
Leia mais »

Como obter sua chave do produto do Windows com o prompt de comando.

Se quiser obter sua chave do produto do Windows 10 ou do Windows 11, a maneira mais fácil de fazer é com o prompt de comando do Windows. O que é a chave do produto do Windows? Uma chave do produto ou licença do Windows é um código de 25 caracteres,   formatada como "XXXXX-XXXXX-XXXXX-XXXXX-XXXXX", que a Microsoft fornece para ativar uma única cópia do Windows em um computador. A chave do produto de ativação do Windows 10 é essencial se você deseja atualizar ou instalar o sistema de forma limpa. No entanto, muitos usuários não têm ideia de onde a chave está armazenada. Esse artigo vai ajudar a encontra-la. Vamos lá !! Primeiro, pressione a tecla Windows, procure por "cmd" e clique em "Run as administrator" (Executar como administrador, em português): Em seguida, execute o comando abaixo: wmic path softwarelicensingservice get OA3xOriginalProductKey Ou execute o comando em powershell: powershell "(Get-WmiObject -query ‘select * from SoftwareLicensingSer...
Postar um comentário
Leia mais »