Windows的DNS保护(第2部分)
Windows的DNS保护(第1部分)
德里克·梅尔伯(Derek Melber)
在本文的上一节中,我们向您介绍了有关DNS的一些基本安全概念。 安全概念之一是集成DNS Active Directory,并通过DHCP通信建立更安全的DNS环境。还有几种强大的配置,可让您轻松创建DNS环境。不要在这里停下来!因为那只是DNS环境安全问题的表面。在本文的每个部分中,我们将深入研究DNS以及如何确保DNS数据库,尤其是与DNS服务器的通信。 DNS服务器必须通信以将数据库升级到另一台DNS服务器。对于攻击者来说,这种沟通可能是一个很好的解决方案,可以侵入这些裸露的弱点。如果采取预防措施并设置安全的DNS配置,则可以减少暴露漏洞。
移动区域
当涉及DNS区域时,您必须了解,在DNS环境中可以设置不同类型的区域。尽管我们需要专注于某些可能的领域,但我仍然列出您可以在DNS中设置的所有区域。
-
活动目录集成区
-
主要区域
-
次要区域
-
存根区
在上一节中,我们介绍了Active Directory集成区。在本节中,我们将讨论Active Directory集成区域功能作为主要区域。此问题的原因:主要条目(Active Directory集成区域)是编写DNS数据库的区域。次要区域不执行此操作,但仅收到主要DNS区域的更新。从主要区域到次级区域的升级称为区域转移。
通过您的选项,可以看到区域移动接口很清楚,如图1所示。您可以允许任何DNS服务器接收关键区域的内容或限制它。因此,只能选择某个DNS号。显然,出于安全目的,您将需要限制允许接收组织中所有计算机的IP地址和域的DNS服务器的范围。
图1:Windows DNS的区域迁移接口
安全区域迁移
您还可以将确保DNS区域转移的概念更改为不同的级别。使DNS更安全不是一个激进的概念,当今大多数公司都采用其他配置来保护其DNS区域转移。有几种保护DN和区域转移的选项。但是,问题的关键是如何设置DNS环境。
首先是在DNS服务器之间使用IPSEC或VPN隧道,以允许加密的DNS数据库通信在整个网络中发送。 IPSEC是在同一网络上在DNS服务器之间进行通信的一种非常普遍的方式。如果您的DNS服务器之间的通信必须通过无抵押网络,则将使用VPN。如果您使用VPN通过未保护的网络来保护数据,则常用的方式是使用L2TP。 L2TP通过网络发送时使用安全的加密算法。
当数据从一台DNS服务器发送到另一台DNS服务器的网络上时,保护数据是使用Active Directory Integration。此方法要求DNS服务器在相同的Active Directory域中运行。它还需要DNS在域控制器上运行。这些好处是显着的,因为数据是通过Active Directory复制保存和复制的,除了数据从DNS服务器发送到另一台DNS服务器时,还将其加密。 DNS功能和迁移到Active Directory用法的另一个好处是,所有通信最初都是认证的。这有助于他们保护域迁移,迫使DNS服务器在复制信息之前对Active Directory数据库进行身份验证。
向前(4种类型)
保护您的DNS环境有另一种方法是使用多个选项进行转发。这可以帮助您维持DNS基础架构的稳定性,同时确保计算机和应用程序可以访问网络上正确的服务器。在Microsoft DNS环境中,有一对转发选项。
第一个就像一个标准过渡,如图2所示,所有对现有DNS服务器没有意义的请求将与其他DNS服务器一起发送。当您拥有用于所有名称,Active Directory等的内部DNS服务器时,这是理想的选择。此DNS服务器均在所有客户端上配置。但是,该DNS服务器不在乎Internet中的名称,因此,当DNS服务器收到有意义的请求到Internet时,查询将转发到可以解决该的另一台DNS服务器。这是必需的。这将保护您的内部DNS服务器免受不必要的不必要的网络中断。
图2:转发到Windows DNS服务器
另一个选择是前瞻性过渡。这可以确保将所有请求重定向到正确的DNS服务器,这大大降低了虚假信息和最小的修改。此选项称为条件转发,如图2的上部显示。它们可用于内部有多个DNS名称空间的环境,您不想依靠Internet或某些设施。其他协作DNS基础架构解决名称。在这里,您只需将DNS服务器转发请求转发到针对客户端的另一个名称空间即可。
总结
DNS可能很复杂,但是当分为小块时,它根本不复杂,并且可以得到适当的保护。在这里,您已经看到DNS可以通过与DSN服务器配置以接收区域传输来保护数据库。在这种情况下,您的Active Directory和主要区域将具有辅助DNS服务器,以便它们可以相互通信。没有这种配置,假DNS服务器可以窃取网络上的所有重要信息。另一个步骤是使DNS迁移安全。安全的DNS服务器可以通过Active Directory集成或更复杂的技术,例如IPSEC或VPN隧道。最后,控制您的DNS转发可以确保名称分辨率变得更加细致,更安全,并保护内部DNS服务器免受不准确信息的误导。 。
你应该阅读
可能有兴趣
- 有6个步骤以更安全的计算机
本文为读者提供了新的,更完整的安全视图。从那里,人们可以以最低的成本为其计算机建立安全的策略,即使是免费的。
- 减少管理员帐户的攻击方
我们已经看到了公司网络的新趋势,网络管理员希望限制“管理员”帐户在网络环境中可以做的事情。
- 小组策略特殊安全设置
可以在组策略对象中配置许多安全设置。这些设置范围从控制管理员帐户到管理LDAP客户端需求。有如此多的安全设置,了解该功能和C
- 使用尖峰和打bur进行计算机安全
HTTP代理是计算机安全专家广泛使用的工具。但是,并非每个专家都了解计算机安全的各个方面。本文将向您介绍如何使用它
- PowerShell安全
如果您听说过PowerShell,那么您可能想知道Powershell有多强大。借助所有的精力和精力,这台脚本机现在更加成熟,具有先进的安全功能。 Powershell是干的
- 帮助孩子安全浏览
互联网网站为幼儿提供了巨大的资源,以探索探索和娱乐。但是,也存在潜在的危险,威胁着儿童在灵魂和身体上的安全。以下准则将有所帮助
![[固定] face ID和密码不在iPhone上的设置中](https://ksfboa.com/tech/jacki/wp-content/uploads/cache/2025/05/face-id-and-passcode-not-in-settings.webp.webp)
