Windows system >> Windowsの知識 >  >> Windows 2003システムチュートリアル >> Windows 2003のチュートリアル >> DNSのセキュリティを保護するためのWin2003システム小さなレイダース

DNSのセキュリティを保護するためのWin2003システム小さなレイダース

  

いわゆるDNS、すなわちドメインネームシステム、ドメイン名解決システム、それはwin2003ドメイン名のDNSセキュリティが確実であるように、インターネットアプリケーションとプロトコルを強化DNSはADドメインシステムの不可欠な部分であるため、非常に重要な要件です。ソースからDNSセキュリティを確保することが重要です。

Windows Server 2003にDNSをインストールするときは、[Active Directory統合DNS]のデフォルト設定を変更しないでください。マイクロソフトは2000年にこの設定を提供し始めました。

これは、システムがDNSデータをDNSサーバーに保存するだけで、ドメインコントローラーとグローバルディレクトリサーバーに関する情報を保存またはコピーしないことを意味します。これにより、動作速度が向上するだけでなく、3台のサーバーの運用効率も向上します。

DNSサーバーとクライアント(または他のサーバー)間のデータ転送を暗号化することも重要です。 DNSはTCP /UDPポート53を使用します;セキュリティ境界上の異なるポイントでこのポートをフィルタリングすることで、DNSサーバーは認証された接続のみを受け付けるようになります。

また、これは、DNSクライアントとサーバー間のデータ転送を暗号化するためにIPSecを展開するのにもいい時期です。 IPSecをオンにすると、すべてのクライアントとサーバー間の通信が確認および暗号化されます。これは、クライアントが認証されたサーバーとのみ通信することを意味し、リクエストが偽造または侵害されるのを防ぐのに役立ちます。

DNSサーバーを設定した後は、企業内の他の価値の高いターゲットに注意を払うのと同じように、接続の監視を続けます。 DNSサーバーは、顧客の要求に応えるために利用可能な帯域幅を必要とします。

ソースマシンでDNSサーバーへのネットワークトラフィックが大量に発生している場合は、 "サービス拒否"(DoS)が発生している可能性があります。ソースから直接接続を切断するか、問題を調査するまでサーバーのネットワーク接続を切断します。 DNSサーバーへのDoS攻撃が成功すると、Active Directoryが直接クラッシュすることを忘れないでください。

デフォルト設定(動的セキュリティ更新)では、認証されたクライアントのみがサーバー上のポータル情報を登録および更新できます。これは攻撃者があなたのDNSポータル情報を変更することを防ぎ、それによって顧客を注意深く作られたウェブサイトに誘導して財務情報のような重要な情報を盗むのを防ぐことができます。

クォータを使用して、DNSに対するクライアントのフラッド攻撃をブロックすることもできます。クライアントは通常10レコードしか登録できません。 1人の顧客が登録できるターゲットの数を制限することで、クライアントが自分のDNSサーバーに対してDoS攻撃を仕掛けるのを防ぐことができます。

注:DHCPサーバー、ドメインコントローラ、およびマルチホームサーバーには、必ず異なるクォータを使用してください。これらのサーバーは、提供する機能に応じて何百ものターゲットまたはユーザーを登録する必要があります。

DNSサーバーは、承認されたゾーン内のクエリリクエストに応答します。内部ネットワークアーキテクチャを外部から隠すには、通常は別のネームスペースを設定する必要があります。つまり、一般に、一方のDNSサーバーが内部DNSアーキテクチャを担当し、もう一方のDNSサーバーが外部およびインターネットDNSアーキテクチャを担当します。外部ユーザーが内部DNSサーバーにアクセスできないようにすることで、内部の開かれていないリソースの漏洩を防ぐことができます。

Windowsネットワークを実行しているか、UNIXとWindowsが混在しているかにかかわらず、DNSの重要性はネットワーク管理者にとって重要な部分です。外からも内からも同時に攻撃されることはありません。
zh-CN"],null,[1],zh-TW"]]]

Copyright © Windowsの知識 All Rights Reserved