Windows Server で DNSSEC を構成する方法

ドメインネームシステムのセキュリティ拡張機能DNSSEC は、DNS プロトコルを保護するための拡張機能のコレクションです。 DNS サーバーを保護する方法の 1 つであり、DNSキャッシュのロックそしてDNSソケットプール。システムを保護するために、暗号化署名を使用して DNS 応答を検証します。この投稿では、その方法を見ていきます。Windows Server で DNSSEC を構成する

DNSSEC暗号署名を使用して DNS 応答を検証し、その信頼性と整合性を確保することで、DNS のセキュリティを強化します。 DNS スプーフィングやキャッシュ改ざんなどの一般的な脅威から保護し、DNS インフラストラクチャの信頼性を高めます。 DNSSEC は、DNS ゾーンに署名することにより、基本的なクエリ応答メカニズムを変更することなく検証層を追加します。これにより、送信中の DNS データの安全性が確保され、ユーザーと組織に信頼できる環境が提供されます。私たちの主な目的は DNS サーバーを保護することなので、DNSSEC だけでなく、DNS ソケット プールと DNS キャッシュ ロックも構成します。

DNSSEC、DNS ソケット プール、および DNS キャッシュ ロックを構成するには、以下の手順に従います。

1. DNSSECの構成
2. グループポリシーの構成
3. DNSソケットプール
4. DNSキャッシュのロック

それらについて詳しく話しましょう。

1] DNSSECを構成する

まず、ドメイン コントローラーで DNSSEC を設定することから始めましょう。これを行うには、以下の手順に従う必要があります。

1. を開きますサーバーマネージャー。
2. 次に、に行きます[ツール] > [DNS]。
3. サーバーを展開し、前方参照ゾーン、ドメイン コントローラーを右クリックし、[DNSSEC > ゾーンに署名する。
4. 一度ゾーン署名ウィザードと表示されたら、「次へ」をクリックします。
5. 選択ゾーン署名パラメータをカスタマイズするそして「次へ」をクリックします。
6. もしあなたがキーマスター窓、目盛りDNS サーバー CLOUD-SERVER がキー マスターとして選択され、そして「次へ」をクリックします。
7. あなたがいるとき鍵署名鍵 (KSK) インターフェース、「追加」をクリックします。
8. オプションを選択し、すべてのフィールドに正しく入力する必要があります。組織の要件に従ってこれを入力し、キーを追加する必要があります。
9. 追加したら、「次へ」をクリックします。
10. に到達した後、ゾーン署名キー (ZSK)オプションを選択して、「追加」をクリックし、フォームに入力して保存します。 「次へ」をクリックします。
11. でネクストセキュア (NSEC)画面に詳細を入力します。 NSEC (Next Secure) は、DNS ゾーン内でドメイン名の前後にある名前を提供することでドメイン名が存在しないことを証明するために使用される DNSSEC レコードで、応答が認証され、改ざん防止されていることを保証します。
12. TA 画面でチェックを入れます。このゾーンチェックのトラストアンカーの配布を有効にするそしてキーロールオーバー時のトラストアンカーの自動更新を有効にするチェックボックス。 「次へ」をクリックします。
13. で署名およびポーリングパラメータ画面で DS の詳細を入力し、[次へ] をクリックします。
14. 最後に、概要を確認し、「次へ」をクリックします。
15. 成功のメッセージが表示されたら、「完了」をクリックします。

ゾーンを構成した後、次の場所に移動する必要があります。トラストポイント > ae > ドメイン名DNS マネージャーで確認してください。

2] グループポリシーを構成する

ゾーンを構成した後、グループ ポリシー管理ユーティリティを使用してドメイン ポリシーにいくつかの変更を加える必要があります。これを行うには、以下の手順に従います。

1. を開きますグループポリシー管理プログラム。
2. ここで、次の場所に行く必要があります。フォレスト: Windows.ae > ドメイン > Windows.ae > デフォルト ドメイン ポリシーを右クリックし、をクリックして「編集」を選択します。
3. に移動します[コンピュータの構成] > [ポリシー] > [Windows の設定] > [名前解決ポリシー] をクリックします。グループ ポリシー管理エディターで。
4. 右側のペインのルールの作成、 入力Windows.ae[サフィックス] ボックスでルールを名前空間サフィックスに適用します。
5. 両方チェックしてくださいこのルールで DNSSEC を有効にするそしてDNS クライアントに名前とアドレスのデータを検証するよう要求するボックスをクリックし、作成するルールを最終決定します。

これが DNSSEC を構成する方法です。しかし、私たちの仕事はまだ終わっていません。サーバーを保護するには、DNS ソケット プールと DNS キャッシュ ロックを構成する必要があります。

3] DNSソケットプール

DNS ソケット プールは、発信クエリの送信元ポートをランダムにすることで DNS セキュリティを強化し、攻撃者がトランザクションを予測して悪用することを困難にします。開く必要がありますパワーシェル管理者として次のコマンドを実行します。

Get-DNSServer

または

Get-DnsServerSetting -All | Select-Object -Property SocketPoolSize

確認する必要がありますソケットプールサイズ現在のプールのサイズを知るため。

私たちの目標は、ソケットのサイズを大きくすることです。値が大きいほど、保護が強化されます。これを行うには、次のコマンドを実行する必要があります。

dnscmd /config /socketpoolsize 5000

注: 値は 0 ～ 10000 の範囲のみです。

DNS サーバーを再起動すれば、準備完了です。

4] DNSキャッシュロック

DNS ロックは、キャッシュされた DNS レコードが TTL 中に上書きされるのを防ぎ、データの整合性とキャッシュ ポイズニングからの保護を保証します。値を確認するには、次のコマンドを実行する必要があります。

Get-DnsServerCache | Select-Object -Property LockingPercent

100 である必要があります。そうでない場合は、以下のコマンドを実行して 100 に設定します。

Set-DnsServerCache –LockingPercent 100

これらの対策を講じれば、DNS サーバーは安全になります。

読む：

Windows Server は DNSSEC をサポートしていますか?

はい、Windows Server は DNSSEC をサポートしており、DNSSEC をセキュリティで保護された DNS ゾーンに構成できます。デジタル署名を使用して DNS 応答を検証し、なりすましなどの攻撃を防ぎます。 DNSSEC は、DNS マネージャーまたは PowerShell コマンドを通じて有効にできます。

読む：

Windows Server の DNS を構成するにはどうすればよいですか?

Windows Server で DNS を構成するには、まず DNS サーバーの役割をインストールする必要があります。完了したら、静的 IP アドレスを割り当て、DNS エントリを構成する必要があります。方法についてはガイドを確認することをお勧めします

こちらもお読みください: