どのようにしてDNSセキュリティが2003年のシステムで保証されるのか

セキュリティのどの側面が関係していても、セキュリティについて言及することはシステムセキュリティ、ネットワークセキュリティについて話すのに不可欠です。 Windows Server 2003ドメインでドメインネームシステム（DNS）のセキュリティを確保することは非常に基本的な要件です。 Active Directory（AD）はDNSを使用して、ドメインコントローラやその他のドメインサービス（ファイル、プリンタ、メールなど）に必要なリソースを探します。 DNSはActive Directoryドメインシステムの不可欠な部分であるため、最初から安全である必要があります。

Windows Server 2003にDNSをインストールするときは、[Active Directory統合DNS]のデフォルト設定を変更しないでください。マイクロソフトは2000年にこの設定を提供し始めました。

これは、システムがDNSデータをDNSサーバーに保存するだけで、ドメインコントローラとグローバルディレクトリサーバーに関する情報を保存またはコピーしないことを意味します。これにより、動作速度が向上するだけでなく、3台のサーバーの運用効率も向上します。

DNSサーバーとクライアント（または他のサーバー）間のデータ転送を暗号化することも重要です。 DNSはTCP /UDPポート53を使用します;セキュリティ境界上の異なるポイントでこのポートをフィルタリングすることで、Dnsサーバーが認証された接続のみを受け付けるようにすることができます。

また、これは、DNSクライアントとサーバー間のデータ転送を暗号化するためにIPSecを展開するための良い機会でもあります。 IPSecをオンにすると、すべてのクライアントとサーバー間の通信が確認および暗号化されます。これは、クライアントが認証されたサーバーとのみ通信することを意味し、リクエストが偽造または侵害されるのを防ぐのに役立ちます。

DNSサーバーを設定した後は、企業内の他の価値の高いターゲットに注意を払うのと同じように、接続の監視を続けます。 Dnsサーバーは、顧客の要求に応えるために利用可能な帯域幅を必要とします。

ソースマシンでDNSサーバーへのネットワークトラフィックが大量に発生している場合は、 "サービス拒否"（DoS）が発生している可能性があります。ソースから直接接続を切断するか、問題を調査するまでサーバーのネットワーク接続を切断します。 DnsサーバーへのDoS攻撃が成功すると、Active Directoryが直接クラッシュすることを忘れないでください。

デフォルト設定（動的セキュリティ更新）では、認証されたクライアントのみがサーバー上のポータル情報を登録および更新できます。これは攻撃者があなたのDNSポータル情報を変更することを防ぎ、それによって顧客を注意深く作られたウェブサイトに導き、財務情報のような重要な情報を盗むのを防ぐことができます。

クォータを使用して、DNSに対するクライアントのフラッド攻撃をブロックすることもできます。クライアントは通常10レコードしか登録できません。 1人の顧客が登録できるターゲットの数を制限することで、クライアントが自分のDnsサーバーに対してDoS攻撃を仕掛けるのを防ぐことができます。

注：DHCPサーバー、ドメインコントローラー、およびマルチホームサーバーには、必ず異なるクォータを使用してください。これらのサーバーは、提供する機能に応じて何百ものターゲットまたはユーザーを登録する必要があります。

DNSサーバーは、承認済みゾーン内のクエリリクエストに応答します。内部ネットワークアーキテクチャを外部から隠すには、通常は別のネームスペースを設定する必要があります。つまり、一般に、一方のDNSサーバーが内部DNSアーキテクチャを担当し、もう一方のDNSサーバーが外部およびインターネットDNSアーキテクチャを担当します。外部ユーザーが内部DNSサーバーにアクセスできないようにすることで、内部の開いていないリソースの漏洩を防ぐことができます。

最後に

これでDNSの重要性がわかります。セキュリティが一番です。 Windowsネットワークを実行している場合でも、UNIXとWindowsが混在している場合でも、DNSセキュリティはネットワークの中心にあるはずです。外部および内部の攻撃からDNSを保護するための対策を講じる。
zh-CN"],null,[1],zh-TW"]]]