Home Jak nakonfigurovat DNSSEC na Windows Server

Jak nakonfigurovat DNSSEC na Windows Server

Rozšíření zabezpečení systému doménových jmennebo DNSSEC je soubor rozšíření pro zabezpečení protokolu DNS. Je to jedna z metod ochrany serveru DNS spolu sUzamčení mezipaměti DNSaPool soketů DNS. Používá kryptografické podpisy k ověření odpovědí DNS za účelem ochrany vašeho systému. V tomto příspěvku se podíváme, jak můžetenakonfigurovat DNSSEC na Windows Server

Nakonfigurujte DNSSEC na Windows Server

DNSSECzvyšuje bezpečnost DNS pomocí kryptografických podpisů k ověřování odpovědí DNS a zajišťuje jejich autenticitu a integritu. Chrání před běžnými hrozbami, jako je spoofing DNS a manipulace s mezipamětí, čímž je infrastruktura DNS spolehlivější. Podepsáním DNS zón přidává DNSSEC vrstvu ověřování, aniž by se měnil základní mechanismus dotaz-odpověď. Tím je zajištěno, že data DNS zůstanou během přenosu v bezpečí a poskytuje uživatelům a organizacím důvěryhodné prostředí. Protože naším primárním cílem je zabezpečit váš DNS server, nakonfigurujeme nejen DNSSEC, ale také DNS Socket Pool a DNS Cache Locking.

Chcete-li nakonfigurovat DNSSEC, DNS Socket Pool a DNS Cache Locking, můžete postupovat podle kroků uvedených níže.

  1. Nakonfigurujte DNSSEC
  2. Nakonfigurujte zásady skupiny
  3. Pool soketů DNS
  4. Uzamčení mezipaměti DNS

Promluvme si o nich podrobně.

1] Nakonfigurujte DNSSEC

Začněme nejprve nastavením DNSSEC v našem řadiči domény. Chcete-li tak učinit, musíte postupovat podle níže uvedených kroků.

  1. OtevřeteSprávce serveru.
  2. Pak přejděte naNástroje > DNS.
  3. Poté rozbalte serverZóna dopředného vyhledávání,klepněte pravým tlačítkem myši na řadič domény a vyberteDNSSEC > Podepsat zónu.
  4. JednouPrůvodce podpisem zónyklikněte na Další.
  5. VybratPřizpůsobte parametry podepisování zóna klikněte na Další.
  6. Pokud jste naKlíčový mistrokno, klíštěJako hlavní klíč je vybrán server DNS CLOUD-SERVER,a klikněte na Další.
  7. Když jste naRozhraní Key Signing Key (KSK),klikněte na Přidat.
  8. Projděte si možnosti a musíte správně vyplnit všechna pole. Toto je třeba vyplnit podle požadavků vaší organizace a poté přidat klíč.
  9. Po přidání klikněte na Další.
  10. Poté, co dosáhneteZónový podpisový klíč (ZSK)klikněte na Přidat, vyplňte formulář a uložte. Klikněte na Další.
  11. NaNext Secure (NSEC)obrazovce, vyplňte podrobnosti. NSEC (Next Secure) je záznam DNSSEC používaný k prokázání neexistence názvu domény tím, že v zóně DNS poskytuje jména, která jsou před ním a za ním, což zajišťuje, že odpověď je ověřená a odolná proti neoprávněné manipulaci.
  12. Když jste na obrazovce TA, zaškrtnětePovolit distribuci ukotvení důvěryhodnosti pro tuto kontrolu zónyaPovolit automatickou aktualizaci ukotvení důvěryhodnosti při převrácení klíčezaškrtávací políčka. Klikněte na Další.
  13. NaParametry podepisování a dotazovánízadejte podrobnosti o DS a klikněte na Další.
  14. Nakonec si projděte souhrn a klikněte na Další.
  15. Jakmile obdržíte úspěšnou zprávu, klikněte na Dokončit.

Po konfiguraci zóny musíte přejít doBod důvěryhodnosti > ae > název doményve Správci DNS pro potvrzení.

2] Nakonfigurujte zásady skupiny

Po konfiguraci zóny musíme provést nějaké změny v zásadách domény pomocí nástroje Správa zásad skupiny. Chcete-li tak učinit, postupujte podle níže uvedených kroků.

  1. OtevřeteSpráva zásad skupinynaprogramovat.
  2. Nyní musíte jít doForest: Windows.ae > Domény > Windows.ae > klikněte pravým tlačítkem na Výchozí zásady domény,a vyberte Upravit.
  3. Přejděte naKonfigurace počítače > Zásady > Nastavení Windows > klikněte na Zásady rozlišení názvův Editoru správy zásad skupiny.
  4. V pravém podokně podVytvořte pravidla, zadejteWindows.aev poli Přípona aplikujte pravidlo na příponu oboru názvů.
  5. Zkontrolujte obojíV tomto pravidle povolte DNSSECaVyžadovat, aby klienti DNS ověřovali data jména a adresypolíček a poté klikněteVytvořitk dokončení pravidla.

Takto můžete nakonfigurovat DNSSEC. Naše práce však není hotová. Pro zabezpečení našeho serveru bychom měli nakonfigurovat DNS Socket Pool a DNS Cache Locking

3] Pool soketů DNS

DNS Socket Pool zvyšuje zabezpečení DNS tím, že zdrojové porty jsou pro odchozí dotazy náhodné, takže je pro útočníky těžší předvídat a zneužít transakce. Musíte otevřítPowerShelljako správce a spusťte následující příkaz.

Get-DNSServer

NEBO

Get-DnsServerSetting -All | Select-Object -Property SocketPoolSize

Musíte zkontrolovatSocketPoolSizezjistit aktuální velikost bazénu.

Naším cílem je zvětšit velikost zásuvky; čím větší hodnota, tím lepší ochrana. Chcete-li tak učinit, musíte spustit následující příkaz.

dnscmd /config /socketpoolsize 5000

Poznámka: Hodnota může být pouze mezi 0 – 10000.

Restartujte server DNS a můžete začít.

4] Uzamčení mezipaměti DNS

Zamykání DNS zabraňuje přepsání záznamů DNS uložených v mezipaměti během jejich doby TTL, čímž je zajištěna integrita dat a ochrana před otravou mezipamětí. Pro kontrolu hodnoty musíme spustit následující příkaz.

Get-DnsServerCache | Select-Object -Property LockingPercent

Mělo by to být 100; pokud tomu tak není, spusťte příkaz uvedený níže a nastavte jej na 100.

Set-DnsServerCache –LockingPercent 100

Pokud provedete tato opatření, váš server DNS bude zabezpečen.

Číst:

Podporuje Windows Server DNSSEC?

Ano, Windows Server podporuje DNSSEC a umožňuje vám jej nakonfigurovat pro zabezpečení zón DNS. Používá digitální podpisy k ověření odpovědí DNS a předcházení útokům, jako je spoofing. DNSSEC můžete povolit prostřednictvím příkazů DNS Manager nebo PowerShell.

Číst:

Jak nakonfiguruji DNS pro Windows Server?

Chcete-li nakonfigurovat DNS na Windows Server, musíme nejprve nainstalovat roli serveru DNS. Po dokončení musíme přiřadit statickou IP adresu a nakonfigurovat položku DNS. Doporučujeme, abyste si prostudovali našeho průvodce, jak na to

Přečtěte si také:

Related Posts

Jak používat prohlížeč Microsoft Edge Game Assist

Jak používat prohlížeč Microsoft Edge Game Assist

2024-11-25
Jak používat zmatenost AI pro výzkum

Jak používat zmatenost AI pro výzkum

2025-03-17
Příliš mnoho chyb opakování na Steam [oprava]

Příliš mnoho chyb opakování na Steam [oprava]

2025-03-19
Nebyl jsem schopen spustit diagnostiku Windows Update Diagnostic

Nebyl jsem schopen spustit diagnostiku Windows Update Diagnostic

2025-02-07
Tiny11 STUCK ON Pojďme přidat váš účet Microsoft [oprava]

Tiny11 STUCK ON Pojďme přidat váš účet Microsoft [oprava]

2025-05-09
Oprava nefunkčního tenisového kanálu na Roku, Apple TV, YouTube TV

Oprava nefunkčního tenisového kanálu na Roku, Apple TV, YouTube TV

2023-12-27
Spory mezi dopravci odvracejí zákazníky

Spory mezi dopravci odvracejí zákazníky

2025-10-30
Rychlosti nabíjení Galaxy S26 Pro, Edge a Ultra nabíjení se zdánlivě potvrdily a nebude se vám to líbit

Rychlosti nabíjení Galaxy S26 Pro, Edge a Ultra nabíjení se zdánlivě potvrdily a nebude se vám to líbit

2025-09-16
Oprava: Chcete-li pokračovat v používání Firefoxu, při používání webového prohlížeče se zobrazí zpráva s restartem

Oprava: Chcete-li pokračovat v používání Firefoxu, při používání webového prohlížeče se zobrazí zpráva s restartem

2025-01-25
Jak používat chatgpt pro setkání minut

Jak používat chatgpt pro setkání minut

2025-05-07
Tato položka možná neexistuje nebo již není dostupná Chyba OneDrive

Tato položka možná neexistuje nebo již není dostupná Chyba OneDrive

2024-11-18
Kontrola rychlosti dotazování myší

Kontrola rychlosti dotazování myší

2025-04-19
IT správu služeb pro každou velikost podnikání

IT správu služeb pro každou velikost podnikání

2025-03-11
Test rychlosti internetu

Test rychlosti internetu

2025-02-02
Operace nasazení selhala, protože objem je chyba Microsoft Store

Operace nasazení selhala, protože objem je chyba Microsoft Store

2025-01-30