Windows的DNS保护（第1部分）

DNS是一项相当简单的服务，但是保护它是一个可以阻止您的网络基础架构的问题。 尽管DNS是名称和数字的数据库，但攻击者可以利用攻击数据库收集的信息。有些攻击可以在数据库中获取信息，然后使用该信息来摧毁您。其他一些攻击可以将信息填充到数据库中，而试图控制DNS服务器，无法实现一些常见解决方案。如果您对攻击DNS基础架构不感兴趣，那么这就是您需要在为时已晚之前知道的。

DNS的基础知识

DNS代表域名服务，该服务用于通过名称解决IP地址。这里的主要目的是了解我们正在谈论的名称。指示名称时，DNS存储与域相关的信息。例如，Active Directory使用DNS将计算机的域名和计算机名称存储在网络上。如果您的域名为polition.org，并且域中的第一个域控制器是PDC1，则您将在DNS中有条目，如图1所示。

请注意，上图中，不仅有一个PDC1的条目，而且还有一个随附PDC1作为XXXX随附的IP地址。此处的原因是，有一个IP地址将与它关联，并且网络上的其他服务将不使用此名称，而不是此IP地址。但是，就人而言，我们更喜欢名称而不是其IP地址。 DNS提出了IP地址的名称解决方案。它可以使用反向查找区域进行配置，该区域将在接收IP地址时返回名称。

使用Active Directory的DNS保护

您需要做出的第一个决定之一是您将配置的DNS数据库类型，以支持Active Directory域。您可以将信息保存在标准DNS数据库中，该数据库必须具有带有辅助DNS服务器的主DNS服务器，也可以将DNS数据库作为Active Directory集成配置，如图2所示。

最好将DNS服务器配置为Active Directory在支持Windows Active Directory时集成的Active Directory，以便您可以利用其优势。您还可以为此类型的DNS数据库获得一些稳定的好处，但是在这里我们要专注于安全方面。

您从基于DNS的Active Directory获得的主要优势是保证的动态更新，您可以在图3中看到配置。动态更新是DNS的主要功能，功能允许域计算机在输入网络或通过DHCP服务器上输入网络或通过DHCP服务器更改IP时，可以自动在DNS服务器上注册其名称和IP地址。此升级形式减少了手动将名称和IP地址输入DNS数据库的困难，这是我们使用的旧方法。这里需要提到的安全方面是从客户端到DNS数据库的自动升级是否可以为恶意代码打开门。但是，您可以确保自动更新将验证请求升级到DNS服务器的计算机还具有Active Directory数据库中的条目。这意味着只有在Active Directory域中命名的计算机才能自动更新DNS数据库。

使用DHCP执行动态升级

Windows中的一个选项是能够为客户端使用DHCP执行动态升级。 Windows 2000 / XP / Server 2003 / Vista未指定这一点，但使用Windows NT / 9X指定了它。

DHCP服务器是输入控制器，可防止其他DHCP服务器或客户端将来升级记录。要解决此问题，请将DHCP服务器帐户添加到DNSupDateProxy组，这将导致DNS供客户端具有安全的访问控制列表（ACLS）控制列表。新的ACL包括能够更新客户端DNS输入的身份验证的用户。此问题是为另一台DHCP服务器设计的，甚至客户端都可以将未来的条目更新为客户端的DNS。

这里的安全问题是身份验证的用户具有更新客户端的能力，但是可能会出现另一个问题。如果将DHCP安装在域控制器上，然后将此计算机添加到组，则结果将是域控制器创建的所有条目都具有相同的安全ACL。现有域控制器的条目对Active Directory的安全性和稳定性非常敏感，在安全性中获得此类条目并不有趣。与您的组织一起。条目将暴露于所有SRV（服务资源记录）以控制客户端和服务器以在网络中找到与Active Directory相关的服务。这些服务可以是Kerberos，Site，TCP，IP和SRV记录。

因此，解决此问题的解决方案不是在域控制器上安装DHCP。如果您在域控制器上安装了DHCP，则最好不要使用DHCP服务器为客户端执行动态更新。另一方面，您可以在DNS中对域控制器的每个转介中编辑每个转介中的不安全设置。

总结

如您所见，DNS确实很简单，而不是一项复杂的服务。通过解决IP地址名称的任务，反之亦然，人们会认为它易于配置和安全。但是，有些设置将允许更多的安全性和更稳定的DNS环境。首先是创建集成DNS数据库Active Directory的能力，该目录可提供与Active Directory的持续兼容性，以及保护动态更新的能力。这些安全的动态更新将有助于我们对抗渗透DNS数据库的恶意代码，因为计算机不在同一域中。通过这些动态更新，您可以让客户自己执行它们，或者让DHCP执行它们。如果您选择使用DHCP和DNSupDateProxy组，则需要确保此配置不会暴露于DNS中的域控制器输入。最简单的解决方案是防止域控制器执行DHCP。在本文的下一部分中，我们将介绍您可以在DNS中执行的详细设置，以保护网络的DNS数据库和服务。

• 默认拒绝所有应用程序（第2部分）

  由于Windows XP以来，全球管理员都有许多选择来定义软件限制策略（SRP），以控制其客户端计算机，以控制允许使用哪种软件，软件启动

• 在计算机上配置Windows XP SP2网络保护技术

  连接到Internet的计算机似乎很容易受到攻击。这里的攻击是计算机安全层的故意穿越或夺走了使用计算机的权利。

• 抵抗DOS攻击

  拒绝服务 - 拒绝服务攻击只是使网站上无法访问网站的普通访问者的一种方式。如果正确配置，IIS服务确实可以保护您免受基本网络攻击。

• 有潜在风险的家用计算机

  每个家庭至少有一位新手计算机用户。例如，网络爱好者下载一些危险程序；公社的夫妻错误地点击了弹出广告和可疑的更新。或堂兄付款
• 解决网络的威胁

  越来越多的安全工具提供了新的解决方案，以防止恶意软件的攻击。除了阻止每种病毒外，这些工具还控制了影响您计算机“健康”的恶意软件。

• VOIP网络的基于类的防御解决方案

  由于VoIP在IP基础架构上起作用，因此很容易受到攻击。杜松启动的理论始于网络安全性最有效的方法，并且类似于任何其他IP网络。