任何人都可以想到防止XP客户端执行DNS查找外部域的方法？

我所做的就是使用我的防火墙来阻止所有LAN到WAN端口53（DNS）的通信。 然后我configuration防火墙的DHCP来推出它的IP地址的DNS服务器（因为它有一个内置的cachingDNS代理）。 然后，我修改了DNSlogging，以阻止一些广告和营销/跟踪公司。 最后，我设置防火墙将请求转发给OpenDNS，并注册过滤并按组阻止内容，并添加了exception。

其实当我说我堵住了53号港口时，为了让机器人的工作变得更加困难，我实际上只是限制了通过港口（即80,443，…）的交通量，而不是我所需要的。 当我得到确定电子邮件的IP地址（因为他们似乎每隔一段时间都会改变），我将通过端口和IP来限制它们，所以不允许其他电子邮件进出。

configuration您的DNS请求到代理IP和端口，并阻止所有其他人可能会帮助一些。

当然，不要忘记查看日志，以便知道是否有东西爬到了机器上，或者如果你阻止了应该畅通无阻的东西。

希望这可以帮助。

曾经听过“devise违背”这个词吗？

美国能源部应该醒来，并意识到，如果你在任何一种外部访问的networking上使用Windows，不pipe你添加了多less层保护，你已经违反了。 微软花了一大笔钱，使他们的软件能够打电话回家，而这些方法的目的是为了通过任何可以build立的防御。

从安全更新到9,999,999个自动更新软件包，到IE浏览器重新编写操作系统的疯狂能力，以及数量惊人的秘密松鼠后向通信渠道（如DNS和他们自己的小后退）在Windows时间服务器上）等等，直到你意识到这是多么的徒劳……好吧，每个通道都是你的networking的潜在入口点。

这个问题正在成为一个国家安全问题（现在，自从Balmer的孩子们把Internet Explorer整合到操作系统以来，狐狸一直在像鸡舍一样漫游），就是使用了Windows – 现在网点 – 已经成为“最佳实践”。 问题在于，如果不使用气隙，就无法保证安全 – 即没有连接到任何广域网或互联网networking的networking。 但即使是各种TLA服装的最聪明的头脑也是假装它永远不会发生在他们的networking上。

可悲的是，这是一个使杀毒软件业务达到数十亿美元的同样的想法。 如果MS的pipe理员没有决定尝试运行/执行/评估遇到的每一个字节的数据是一个好主意，当DOS 3出现，我们将不会遇到AVG / McAffee / Norton / Windows Defender /等等 如果你有一个两岁的孩子，你会教它把它在人行道上发现的所有东西都放进嘴里吗？ 微软并没有发明这个木马/病毒，但是他们做的比其他人想象的要多。 但是我离题了。

尽pipe如此，修复很容易。 几乎。 把一个linux或者BSD的unix box放进去。禁用除DNS之外的所有服务，并告诉DNS服务器它只能parsing你configuration中的任何东西，也许上传到AD的本地或本地域地址 – 使用linux的盒子来过滤一切。 然后将DNS框硬编码为服务器，以便locking任何内容。

你会通过你的能源部审计与飞行的颜色。 坏消息是美国能源部的审计大致上与其他像SAS-70这样有吸引力的名字的审计剧院一样复杂和全面。 像大多数安全计划一样，它们比武装警卫更像安全毯。 如果您运行的是Windowsnetworking，并且您的用户正在使用Internet Explorer，Windows Search或Chrome或Google桌面，或者您已经安装了其他任何软件，那么您的安全性完全是虚构的。 Windows是主要的vector – 不是因为它很常见，而是因为它被devise破坏了。

你需要实现像脑裂的DNS。 为了您的设置，您可能会在这里开始获取创意

事实上，这个页面现在显示在您的search短语在谷歌第二表明，这不是一个重要的攻击媒介。

到目前为止，DNS本身最重要的用途是Conficker蠕虫的伪C＆C通道。 在这种情况下，经常更改的域名仅用于允许下载更新到蠕虫，而不是直接控制它。 因此，阻止对客户的networking访问足以阻碍该向量。

如果您确实必须这样做，您可能会发现您需要在Unboundrecursionparsing器的local-zonefunction中将本地域转发到AD服务器，并拒绝其他所有内容。 您需要configuration您的XP客户端使用该服务器，而不是您现有的AD服务器。

joeqwerty – 不完全。 我们是一家美国独资公司，最近经“美国能源部核能办公室”审核。 这个攻击vector（Command and Control vector）是审计中的“必须修复”条目之一。 但是，谢谢你的回应。