有人能想到一种方法来阻止 XP 客户端执行外部域的 DNS 查找吗？

我所做的是使用防火墙阻止所有 LAN 到 WAN 端口 53（DNS）流量。然后我配置防火墙的 DHCP 以将其 IP 地址的 DNS 服务器推出（因为它内置了缓存 DNS 代理）。然后我修改了 DNS 记录以阻止一些广告和营销/跟踪公司。最后，我将防火墙设置为将请求转发到 OpenDNS，并注册了按组过滤和阻止内容并添加了例外。

实际上，当我说我封锁了端口 53 时，我实际上做的是让机器人的工作更难一点，即通过端口（即 80、443 等）限制传出的流量，只限于我需要的流量。当我确定电子邮件的 IP 地址后（因为它们似乎时不时会更改），我将通过端口和 IP 限制它们，这样其他电子邮件就不允许进出。

将您的 DNS 请求配置为代理 IP 和端口并阻止所有其他请求可能会有所帮助。

当然，不要忘记查看日志，这样您就知道是否有东西爬进了机器，或者是否阻止了应该解除阻止的东西。

希望这可以帮助。

曾经听说过“设计违反”这句话吗？

美国能源部应该醒悟过来，意识到如果你在有外部访问的网络上使用 Windows - 无论你添加多少层保护 - 你都已经被攻破了。微软花了很多钱让他们的软件能够打电话回家，而这些方法的设计就是为了突破你所能设置的任何防御。

每一个泄漏的渠道 - 从安全更新，到 9,999,999 个自动更新软件包，到 IE 疯狂的动态重写操作系统的能力，到惊人数量的秘密松鼠向后通信渠道（例如 DNS 和 Windows 时间服务器上自己的小回旋）等等，直到您意识到这一切是多么徒劳...好吧，每个渠道都是进入您网络的潜在入口点。

这个问题——现在正成为一个国家安全问题（自从 Balmer 的伙计们争先恐后地将 Internet Explorer 集成到操作系统中以来，狐狸就一直在鸡舍里到处乱窜）是使用 Windows（现在是 .Net）已成为“最佳实践”。问题是，如果不使用气隙（即未连接到任何 WAN 或互联网源的网络），它根本无法得到保护。但即使是各个 TLA 机构中最聪明的人也乐于假装这种情况永远不会发生在他们的网络上。

可悲的是，正是这种想法让防病毒业务成为价值数十亿美元的产业。如果微软的管理层在 DOS 3 出现时没有认为尝试运行/执行/评估遇到的每个字节数据是个好主意，我们就不会遭受 AVG/McAffee/Norton/Windows Defender/等的困扰。如果你有一个两岁的孩子，你会教他把在人行道上发现的所有东西都放进嘴里吗？微软并没有发明木马/病毒，但他们为传播它们所做的努力比任何人想象的都要多。但我离题了。

尽管如此，修复还是很容易的。几乎。放入一个 Linux 或 BSD Unix 框。禁用除 DNS 之外的所有服务，并告诉 DNS 服务器它只能解析您在配置中输入的内容，并且可能向上游查找 AD 框中的本地或本地域地址 - 使用 Linux 框过滤掉其他所有内容。然后将 DNS 框硬编码为您想要锁定的任何内容的服务器。

您将顺利通过 DOE 审计。坏消息是，DOE 审计大致与其他具有朗朗上口的名称（如 SAS-70）的审计戏剧一样复杂和全面。与大多数安全程序一样，它们更像是安全毯而不是武装警卫。如果您运行 Windows 网络，并且有用户使用 Internet Explorer、Windows Search、Chrome、Google Desktop 或他们设法安装的其他任何程序 - 您的安全性完全是虚构的。Windows 是主要载体 - 不是因为它很常见，而是因为它在设计上就被破坏了。

您需要实现类似裂脑 DNS 的东西。对于您的设置，您可能会开始获得一些想法这里。

joeqwerty - 不完全是。我们是一家美国公司，最近接受了“美国能源部核能办公室”的审计。此攻击载体（命令和控制载体）是审计中“必须修复”的条目之一。但还是感谢您的回复。