Kaip sukonfigūruoti DNSSEC „Windows Server“.

Domeno vardų sistemos saugos plėtiniaiarba DNSSEC yra plėtinių rinkinys, skirtas apsaugoti DNS protokolą. Tai vienas iš būdų apsaugoti DNS serverį, kartu suDNS talpyklos užrakinimasirDNS lizdų baseinas. Jis naudoja kriptografinius parašus DNS atsakymams patvirtinti, kad apsaugotų jūsų sistemą. Šiame įraše pamatysime, kaip galitesukonfigūruokite DNSSEC „Windows Server“.

DNSSECpadidina DNS saugumą, naudodamas kriptografinius parašus DNS atsakymams patvirtinti, užtikrindamas jų autentiškumą ir vientisumą. Jis apsaugo nuo įprastų grėsmių, pvz., DNS klastojimo ir talpyklos klastojimo, todėl DNS infrastruktūra tampa patikimesnė. Pasirašydama DNS zonas, DNSSEC prideda patvirtinimo sluoksnį nekeisdama pagrindinio užklausos ir atsako mechanizmo. Tai užtikrina, kad DNS duomenys išliks saugūs perdavimo metu, o tai užtikrina patikimą aplinką vartotojams ir organizacijoms. Kadangi mūsų pagrindinis tikslas yra apsaugoti jūsų DNS serverį, mes sukonfigūruosime ne tik DNSSEC, bet ir DNS Socket Pool bei DNS talpyklos užrakinimą.

Norėdami sukonfigūruoti DNSSEC, DNS Socket Pool ir DNS Cache Locking, galite atlikti toliau nurodytus veiksmus.

1. Konfigūruokite DNSSEC
2. Konfigūruoti grupės strategiją
3. DNS lizdų baseinas
4. DNS talpyklos užrakinimas

Pakalbėkime apie juos išsamiai.

1] Konfigūruoti DNSSEC

Pirmiausia pradėkime nuo DNSSEC nustatymo mūsų domeno valdiklyje. Norėdami tai padaryti, turite atlikti toliau nurodytus veiksmus.

1. AtidarykiteServerio tvarkyklė.
2. Tada eikite įĮrankiai > DNS.
3. Tada išplėskite serverįPeržiūros zona,dešiniuoju pelės mygtuku spustelėkite domeno valdiklį ir pasirinkiteDNSSEC > Pasirašykite zoną.
4. KartąZonos pasirašymo vedlyspasirodo, spustelėkite Kitas.
5. PasirinkiteTinkinkite zonos pasirašymo parametrusir spustelėkite Kitas.
6. Jei esate antRaktų meistraslangas, varnelėDNS serveris CLOUD-SERVER yra pasirinktas kaip raktų valdiklis,ir spustelėkite Kitas.
7. Kai esate antRakto pasirašymo rakto (KSK) sąsaja,spustelėkite Pridėti.
8. Peržiūrėkite parinktis ir turite teisingai užpildyti visus laukus. Turite užpildyti šią informaciją pagal savo organizacijos reikalavimus ir pridėti raktą.
9. Pridėję spustelėkite Pirmyn.
10. Kai pasieksiteZonos pasirašymo raktas (ZSK)parinktį, spustelėkite Pridėti, užpildykite formą ir išsaugokite. Spustelėkite Kitas.
11. AntKitas saugus (NSEC)ekrane, užpildykite išsamią informaciją. NSEC (Next Secure) yra DNSSEC įrašas, naudojamas įrodyti domeno vardo nebuvimą, pateikiant vardus, esančius prieš ir po jo DNS zonoje, užtikrinant, kad atsakymas būtų autentifikuotas ir apsaugotas nuo klastojimo.
12. Kai esate TA ekrane, pažymėkiteĮgalinti šios zonos patikros patikimumo prieraišų paskirstymąirĮgalinti automatinį pasitikėjimo prieraišų atnaujinimą, kai raktas apverčiamasžymimuosius langelius. Spustelėkite Kitas.
13. AntPasirašymo ir apklausos parametraiekrane įveskite DS informaciją ir spustelėkite Pirmyn.
14. Galiausiai peržiūrėkite santrauką ir spustelėkite Kitas.
15. Kai gausite sėkmingą pranešimą, spustelėkite Baigti.

Sukonfigūravę zoną, turite eiti įPasitikėjimo taškas > ae > domeno vardasDNS tvarkytuvėje, kad patvirtintumėte.

2] Konfigūruoti grupės strategiją

Sukonfigūravę zoną, turime atlikti kai kuriuos savo domeno politikos pakeitimus naudodami grupės strategijos valdymo įrankį. Norėdami tai padaryti, atlikite toliau nurodytus veiksmus.

1. AtidarykiteGrupės politikos valdymasprograma.
2. Dabar reikia eiti įMiškas: Windows.ae > Domains > Windows.ae > dešiniuoju pelės mygtuku spustelėkite Numatytoji domeno politika,ir pasirinkite Redaguoti.
3. Eikite įKompiuterio konfigūracija > Politikos > „Windows“ nustatymai > spustelėkite Vardo sprendimo strategijagrupės strategijos valdymo redaktoriuje.
4. Dešinėje srityje, apačiojeSukurti taisykles, įveskiteWindows.aelauke Priesaga, kad taisykle būtų taikoma vardų erdvės priesaga.
5. Patikrinkite abuĮgalinkite DNSSEC šioje taisyklėjeirReikalauti, kad DNS klientai patvirtintų vardo ir adreso duomenislangelius, tada spustelėkiteSukurtibaigti taisyklę.

Taip galite sukonfigūruoti DNSSEC. Tačiau mūsų darbas nėra atliktas. Norėdami apsaugoti savo serverį, turėtume sukonfigūruoti DNS Socket Pool ir DNS Cache Locking

3] DNS Socket Pool

DNS Socket Pool padidina DNS saugumą, nes šaltinio prievadai yra atsitiktiniai siunčiamoms užklausoms, todėl užpuolikams sunkiau numatyti ir išnaudoti operacijas. Reikia atsidarytiPowerShellkaip administratorius ir paleiskite šią komandą.

Get-DNSServer

ARBA

Get-DnsServerSetting -All | Select-Object -Property SocketPoolSize

Reikia patikrintiSocketPoolSizesužinoti dabartinį baseino dydį.

Mūsų tikslas – padidinti lizdo dydį; kuo didesnė vertė, tuo geresnė apsauga. Norėdami tai padaryti, turite paleisti šią komandą.

dnscmd /config /socketpoolsize 5000

Pastaba: reikšmė gali būti tik nuo 0 iki 10 000.

Iš naujo paleiskite DNS serverį ir būsite gerai.

4] DNS talpyklos užrakinimas

DNS užrakinimas neleidžia perrašyti talpykloje saugomų DNS įrašų jų TTL metu, taip užtikrinant duomenų vientisumą ir apsaugą nuo talpyklos apsinuodijimo. Norėdami patikrinti vertę, turime paleisti šią komandą.

Get-DnsServerCache | Select-Object -Property LockingPercent

Tai turėtų būti 100; jei ne, paleiskite toliau nurodytą komandą, kad nustatytumėte ją į 100.

Set-DnsServerCache –LockingPercent 100

Jei imsitės šių priemonių, jūsų DNS serveris bus saugus.

Skaityti:

Ar „Windows Server“ palaiko DNSSEC?

Taip, „Windows Server“ palaiko DNSSEC ir leidžia sukonfigūruoti jį taip, kad apsaugotų DNS zonas. Jis naudoja skaitmeninius parašus, kad patvirtintų DNS atsakymus ir išvengtų atakų, tokių kaip klastojimas. DNSSEC galite įjungti naudodami DNS tvarkyklės arba „PowerShell“ komandas.

Skaityti:

Kaip sukonfigūruoti DNS, skirtą „Windows Server“?

Norėdami sukonfigūruoti DNS „Windows Server“, pirmiausia turime įdiegti DNS serverio vaidmenį. Kai tai padarysite, turime priskirti statinį IP adresą ir sukonfigūruoti DNS įrašą. Rekomenduojame peržiūrėti mūsų vadovą, kaip tai padaryti

Taip pat skaitykite: