Windows system >> Windowsの知識 >  >> Windows 2003システムチュートリアル >> Windows 2003のよくある質問 >> Windows 2003ドメインでDNSセキュリティを確保する

Windows 2003ドメインでDNSセキュリティを確保する

  

Windows Server 2003ドメインでドメインネームシステム(DNS)のセキュリティを確保することは、非常に基本的な要件です。 Active Directory(AD)はDNSを使用して、ドメインコントローラやその他のドメインサービス(ファイル、プリンタ、メールなど)に必要なリソースを探します。 DNSはActive Directoryドメインシステムの不可欠な部分であるため、最初から安全である必要があります。 Windows Server 2003にDNSをインストールするときは、「Active Directory統合DNS」のデフォルト設定を変更しないでください。マイクロソフトは2000年にこの設定を提供し始めました。つまり、システムはDNSデータをDNSサーバーにのみ保存し、ドメインコントローラーとグローバルディレクトリサーバーに関する情報を保存またはコピーすることはありません。これにより、動作速度が向上するだけでなく、3台のサーバーの運用効率も向上します。 DNSサーバーとクライアント(または他のサーバー)間のデータ転送を暗号化することも重要です。 DNSはTCP /UDPポート53を使用します;セキュリティ境界上の異なるポイントでこのポートをフィルタリングすることで、DNSサーバーが認証された接続のみを受け付けるようにすることができます。また、これは、DNSクライアントとサーバー間のデータ転送を暗号化するためにIPSecを展開するための良い機会でもあります。 IPSecをオンにすると、すべてのクライアントとサーバー間の通信が確認および暗号化されます。これは、クライアントが認証されたサーバーとのみ通信することを意味し、リクエストが偽造または侵害されるのを防ぐのに役立ちます。 DNSサーバーを構成したら、企業内の他の重要なターゲットに注意を払うのと同じように、接続の監視を続けます。 DNSサーバーは、顧客の要求に応えるために利用可能な帯域幅を必要とします。ソースマシンでDNSサーバーへのネットワークトラフィックが大量に発生している場合は、サービス拒否(DoS)攻撃を受けている可能性があります。ソースから直接接続を切断するか、問題を調査するまでサーバーのネットワーク接続を切断します。 DNSサーバーへのDoS攻撃が成功すると、Active Directoryが直接クラッシュすることを忘れないでください。デフォルト設定(動的セキュリティ更新)では、認証されたクライアントのみがサーバー上のポータル情報を登録および更新できます。これは攻撃者があなたのDNSポータル情報を変更することを防ぎ、それによって顧客を注意深く作られたウェブサイトに導き、財務情報のような重要な情報を盗むのを防ぐことができます。クォータを使用して、DNSへのクライアントフラッド攻撃をブロックすることもできます。クライアントは通常10レコードしか登録できません。 1人の顧客が登録できるターゲットの数を制限することで、クライアントが自分のDNSサーバーに対してDoS攻撃を仕掛けるのを防ぐことができます。注:DHCPサーバー、ドメインコントローラー、およびマルチホームサーバーには異なるクォータを使用してください。これらのサーバーは、提供する機能に応じて何百ものターゲットまたはユーザーを登録する必要があります。 DNSサーバーは、承認されたゾーン内のあらゆるクエリ要求に応答します。内部ネットワークアーキテクチャを外部から隠すには、通常は別のネームスペースを設定する必要があります。つまり、一般に、一方のDNSサーバーが内部DNSアーキテクチャを担当し、もう一方のDNSサーバーが外部およびインターネットDNSアーキテクチャを担当します。外部ユーザーが内部DNSサーバーにアクセスできないようにすることで、内部の開かれていないリソースの漏洩を防ぐことができます。最後に、Windowsネットワークを実行しているか、UNIXとWindowsが混在しているかにかかわらず、DNSセキュリティはネットワークの中心にあるべきです。外部および内部の攻撃からDNSを保護するための対策を講じる。
zh-CN"],null,[1],zh-TW"]]]

Copyright © Windowsの知識 All Rights Reserved