Windows 2003システムドメインでDNSセキュリティのヒントを確保する

Windows Server 2003ドメインでドメインネームシステム（DNS）のセキュリティを確保することは、非常に基本的な要件です。 Active Directory（AD）はDNSを使用して、ドメインコントローラやその他のドメインサービス（ファイル、プリンタ、メールなど）に必要なリソースを探します。 DNSはActive Directoryドメインシステムの不可欠な部分であるため、最初から安全である必要があります。

Windows Server 2003にDNSをインストールするときは、Active Directory統合DNSのデフォルト設定を変更しないでください。マイクロソフトは2000年にこの設定を提供し始めました。

これは、システムがDNSデータをDNSサーバーに保存するだけで、ドメインコントローラとグローバルディレクトリサーバーに関する情報を保存またはコピーしないことを意味します。これにより、動作速度が向上するだけでなく、3台のサーバーの運用効率も向上します。

DNSサーバーとクライアント（または他のサーバー）間のデータ転送を暗号化することも重要です。 DNSはTCP /UDPポート53を使用します;セキュリティ境界上の異なるポイントでこのポートをフィルタリングすることで、DNSサーバーは認証された接続のみを受け付けるようになります。

また、これは、DNSクライアントとサーバー間のデータ転送を暗号化するためにIPSecを展開するための良い機会でもあります。 IPSecをオンにすると、すべてのクライアントとサーバー間の通信が確認および暗号化されます。これは、クライアントが認証されたサーバーとのみ通信することを意味し、リクエストが偽造または侵害されるのを防ぐのに役立ちます。

DNSサーバーを設定したら、企業内の他の価値の高いターゲットに注意を払うのと同じように、接続の監視を続けます。 DNSサーバーは、顧客の要求に応えるために利用可能な帯域幅を必要とします。

ソースマシンでDNSサーバーへのネットワークトラフィックが大量に発生している場合は、 "サービス拒否"（DoS）が発生している可能性があります。ソースから直接接続を切断するか、問題を調査するまでサーバーのネットワーク接続を切断します。 DNSサーバーへのDoS攻撃が成功すると、Active Directoryが直接クラッシュすることを忘れないでください。

デフォルト設定（動的セキュリティ更新）では、認証されたクライアントのみがサーバー上のポータル情報を登録および更新できます。これは攻撃者があなたのDNSポータル情報を変更することを防ぎ、それによって顧客を注意深く作られたウェブサイトに誘導して財務情報のような重要な情報を盗むのを防ぐことができます。

クォータを使用して、DNSに対するクライアントのフラッド攻撃を防ぐこともできます。クライアントは通常10レコードしか登録できません。 1人の顧客が登録できるターゲットの数を制限することで、クライアントが自分のDNSサーバーに対してDoS攻撃を仕掛けるのを防ぐことができます。

注：DHCPサーバー、ドメインコントローラー、およびマルチホームサーバーには、必ず異なるクォータを使用してください。これらのサーバーは、提供する機能に応じて何百ものターゲットまたはユーザーを登録する必要があります。

DNSサーバーは、承認されたゾーン内のクエリリクエストに応答します。内部ネットワークアーキテクチャを外部から隠すには、通常は別のネームスペースを設定する必要があります。つまり、一般に、一方のDNSサーバーが内部DNSアーキテクチャを担当し、もう一方のDNSサーバーが外部およびインターネットDNSアーキテクチャを担当します。外部ユーザーが内部DNSサーバーにアクセスできないようにすることで、内部の非オープンリソースの漏洩を防ぐことができます。

最後に

Windowsネットワークを実行しているか、UnixとWindowsが混在しているかにかかわらず、DNSセキュリティはネットワークの中心にあるべきです。外部および内部の攻撃からDNSを保護するための対策を講じる。
zh-CN"],null,[1],zh-TW"]]]