Home Cum se configurează DNSSEC pe Windows Server

Cum se configurează DNSSEC pe Windows Server

Extensii de securitate pentru sistemul de nume de domeniusau DNSSEC este o colecție de extensii pentru a securiza protocolul DNS. Este una dintre metodele de a proteja serverul DNS, împreună cuBlocare cache DNSşiPool de prize DNS. Utilizează semnături criptografice pentru a valida răspunsurile DNS pentru a vă proteja sistemul. În această postare, vom vedea cum poțiconfigurați DNSSEC pe Windows Server

Configurați DNSSEC pe Windows Server

DNSSECîmbunătățește securitatea DNS prin utilizarea semnăturilor criptografice pentru a valida răspunsurile DNS, asigurând autenticitatea și integritatea acestora. Protejează împotriva amenințărilor comune, cum ar fi falsificarea DNS și manipularea cache-ului, făcând infrastructura DNS mai fiabilă. Prin semnarea zonelor DNS, DNSSEC adaugă un strat de validare fără a modifica mecanismul de bază interogare-răspuns. Acest lucru asigură că datele DNS rămân securizate în timpul transmisiei, oferind un mediu de încredere pentru utilizatori și organizații. Deoarece scopul nostru principal este să vă securizăm serverul DNS, vom configura nu doar DNSSEC, ci și DNS Socket Pool și DNS Cache Locking.

Pentru a configura DNSSEC, DNS Socket Pool și DNS Cache Locking, puteți urma pașii menționați mai jos.

  1. Configurați DNSSEC
  2. Configurați politica de grup
  3. Pool de prize DNS
  4. Blocare cache DNS

Să vorbim despre ele în detaliu.

1] Configurați DNSSEC

Să începem mai întâi prin a configura DNSSEC în controlerul nostru de domeniu. Pentru a face acest lucru, trebuie să urmați pașii menționați mai jos.

  1. DeschidețiServer Manager.
  2. Apoi, du-te laInstrumente > DNS.
  3. Extindeți serverul, atunciZona de căutare înainte,faceți clic dreapta pe controlerul de domeniu și selectațiDNSSEC > Semnează zona.
  4. Odată ceExpert pentru semnarea zoneiapare, faceți clic pe Următorul.
  5. SelectaPersonalizați parametrii de semnare a zoneiși faceți clic pe Următorul.
  6. Dacă sunteți peCheie Masterfereastră, bifăServerul DNS CLOUD-SERVER este selectat ca Key Master,și faceți clic pe Următorul.
  7. Când ești peInterfață cheie de semnare a cheii (KSK),faceți clic pe Adăugați.
  8. Parcurgeți opțiunile și trebuie să completați corect toate câmpurile. Trebuie să completați acest lucru în funcție de cerințele organizației dvs. și apoi să adăugați cheia.
  9. Odată adăugat, faceți clic pe Următorul.
  10. După ce ajungi laCheie de semnare a zonei (ZSK)opțiunea, faceți clic pe Adăugați, completați formularul și salvați. Faceți clic pe Următorul.
  11. PeNext Secure (NSEC)ecran, completați detaliile. NSEC (Next Secure) este o înregistrare DNSSEC folosită pentru a dovedi inexistența unui nume de domeniu prin furnizarea numelor care vin înainte și după acesta în zona DNS, asigurându-se că răspunsul este autentificat și inviolabil.
  12. Când vă aflați pe ecranul TA, bifațiActivați distribuirea ancorelor de încredere pentru această verificare a zoneişiActivați actualizarea automată a ancorelor de încredere la trecerea cheiicasete de selectare. Faceți clic pe Următorul.
  13. PeParametri de semnare și sondareecran, introduceți detaliile DS și faceți clic pe Următorul.
  14. În cele din urmă, parcurgeți rezumatul și faceți clic pe Următorul.
  15. După ce primiți mesajul de succes, faceți clic pe Terminare.

După configurarea zonei, trebuie să mergeți laPunct de încredere > ae > nume de domeniuîn Managerul DNS pentru a confirma.

2] Configurați politica de grup

După configurarea zonei, trebuie să facem câteva modificări în politica noastră de domeniu folosind utilitarul Group Policy Management. Pentru a face acest lucru, urmați pașii menționați mai jos.

  1. DeschidețiManagementul politicii de grupprogram.
  2. Acum, trebuie să mergi laForest: Windows.ae > Domenii > Windows.ae > faceți clic dreapta pe Politica de domeniu implicită,și selectați Editați.
  3. Navigați laConfigurare computer > Politici > Setări Windows > faceți clic pe Politică de rezoluție numeîn Editorul de gestionare a politicilor de grup.
  4. În panoul din dreapta, subCreați reguli, intraWindows.aeîn caseta Sufix pentru a aplica regula sufixului spațiului de nume.
  5. Verificați pe amândouăActivați DNSSEC în această regulăşiSolicitați clienților DNS să valideze datele de nume și adresăcasete, apoi faceți clicCreapentru a finaliza regula.

Așa puteți configura DNSSEC. Totuși, treaba noastră nu este făcută. Pentru a ne securiza serverul, ar trebui să configuram DNS Socket Pool și DNS Cache Locking

3] Pool de prize DNS

DNS Socket Pool îmbunătățește securitatea DNS făcând porturile sursă aleatorii pentru interogările de ieșire, făcând mai greu pentru atacatori să prezică și să exploateze tranzacțiile. Trebuie să deschiziPowerShellca administrator și rulați următoarea comandă.

Get-DNSServer

SAU

Get-DnsServerSetting -All | Select-Object -Property SocketPoolSize

Trebuie să verificațiSocketPoolSizepentru a cunoaște dimensiunea actuală a piscinei.

Scopul nostru este să creștem dimensiunea prizei; cu cât valoarea este mai mare, cu atât protecția este mai bună. Pentru a face acest lucru, trebuie să rulați următoarea comandă.

dnscmd /config /socketpoolsize 5000

Notă: valoarea poate fi doar între 0 – 10000.

Reporniți serverul DNS și veți fi gata.

4] Blocare cache DNS

Blocarea DNS previne suprascrierea înregistrărilor DNS din cache în timpul TTL, asigurând integritatea datelor și protecție împotriva otrăvirii cache-ului. Trebuie să rulăm următoarea comandă pentru a verifica valoarea.

Get-DnsServerCache | Select-Object -Property LockingPercent

Ar trebui să fie 100; dacă nu este, rulați comanda menționată mai jos pentru a o seta la 100.

Set-DnsServerCache –LockingPercent 100

Dacă luați aceste măsuri, serverul dvs. DNS va fi securizat.

Citire:

Windows Server acceptă DNSSEC?

Da, Windows Server acceptă DNSSEC și vă permite să îl configurați pentru a securiza zonele DNS. Folosește semnături digitale pentru a valida răspunsurile DNS și pentru a preveni atacuri precum falsificarea. Puteți activa DNSSEC prin intermediul comenzilor DNS Manager sau PowerShell.

Citire:

Cum configurez DNS pentru Windows Server?

Pentru a configura DNS pe Windows Server, trebuie să instalăm mai întâi rolul de server DNS. Odată terminat, trebuie să atribuim o adresă IP statică și să configuram intrarea DNS. Vă recomandăm să consultați ghidul nostru despre cum

Citește și:

Related Posts

Securitatea bazată pe virtualizare nu este activată; Cum să activați VBS în Windows 11/10

Securitatea bazată pe virtualizare nu este activată; Cum să activați VBS în Windows 11/10

2022-08-05
Cum să convertiți postările de pe blog în videoclipuri folosind AI

Cum să convertiți postările de pe blog în videoclipuri folosind AI

2025-05-06
Excel se blochează la salvarea unui fișier [Remediere]

Excel se blochează la salvarea unui fișier [Remediere]

2024-12-25
O modalitate simplă de a conecta contul Microsoft folosind Microsoft.com/Link

O modalitate simplă de a conecta contul Microsoft folosind Microsoft.com/Link

2025-01-13
Cum se schimbă dimensiunea hard disk

Cum se schimbă dimensiunea hard disk

2025-04-04
Ghidul complet pentru cablarea Ethernet acasă

Ghidul complet pentru cablarea Ethernet acasă

2024-09-25
Dezvoltarea web Unstangling vs software: un ghid pentru toate nivelurile tehnice

Dezvoltarea web Unstangling vs software: un ghid pentru toate nivelurile tehnice

2025-08-06
Alarma de atestare TPM gazdă în VMware vSphere

Alarma de atestare TPM gazdă în VMware vSphere

2025-03-25
Cum să verificați sau să descărcați RPSC RAS PRE REZULTAT 2025 PDF

Cum să verificați sau să descărcați RPSC RAS PRE REZULTAT 2025 PDF

2025-02-21
IOS 15 Beta Public: Totul despre descărcare și instalare

IOS 15 Beta Public: Totul despre descărcare și instalare

2021-07-20
Articole instructive

Articole instructive

2024-12-10
Cum să resetați din fabrică Google Pixel 9/8/7/6/5/4/3? 5 moduri creative

Cum să resetați din fabrică Google Pixel 9/8/7/6/5/4/3? 5 moduri creative

2024-10-23
Ransomware Akira: Ghid complet

Ransomware Akira: Ghid complet

2025-04-30
Inteligenţă artificială

Inteligenţă artificială

2025-02-22
Modulul Sfaturi PowerShell

Modulul Sfaturi PowerShell

2024-09-23