Bloquer les publicités et le tracking avec le DNS de Windows Server 2016
J’expliquais hier à mes étudiants-apprentis le rôle central du DNS dans la sécurité informatique ou cybersécurité, tant au niveau des analyses post-mortem qu’au niveau du blocage de sites. Et comme ils sont tous en environnement Windows, je vais aujourd’hui leur présenter les DNS policies introduites dans Windows Server 2016.
Les applets de commandes PowerShell
Vous disposez de 4 applets de commandes PowerShell pour écrire vos stratégies :
- Get-DnsServerQueryResolutionPolicy, pour lister vos DNS policies
- Add-DnsServerQueryResolutionPolicy, pour ajouter des stratégies DNS
- Set-DnsServerQueryResolutionPolicy, pour modifier vos règles de blocage DNS
- Remove-DnsServerQueryResolutionPolicy , pour supprimer vos stratégies DNS
Ajout d’une stratégie DNS de blocage de site
Ici, la règle a pour vocation de bloquer une petite partie de la logorrhée publicitaire et du tracking perpétrés par Google.
Add-DnsServerQueryResolutionPolicy -Name "Tracking" -Action DENY -FQDN "EQ,*.google-analytics.com,OR,googletagmanager.com,OR,doubleclick.net,OR,googletagservices.com,OR,googleadservices.com,OR,googlecommerce.com,OR,googlesyndication.com" Add-DnsServerQueryResolutionPolicy -Name "Sexxx" -Action DENY -FQDN "EQ,*.sex,OR,*.xxx" Add-DnsServerQueryResolutionPolicy -Name "LesHunsModernes" -Action DENY -FQDN "EQ,*.st,OR,*.cz,OR,*.ru,OR,*.ua,OR,*.pw,OR,*.tk,OR,*.br,OR,*.cm,OR,*.ge"
Les éléments de la stratégie sont stockés dans la clé de registre HKLM\Software\Microsoft\Windows NT\CurrentVersion\DNS Server\Policies. Les clés de registre REG_SZ sont limitées à 1 Mo. Y a de quoi faire !
Effacer toutes les règles de blocage DNS
Get-DnsServerQueryResolutionPolicy|Remove-DnsServerQueryResolutionPolicy -force