Garantizar la seguridad del sistema de nombres de dominio (DNS) en los dominios de Windows Server 2003 es un requisito muy básico. Active Directory (AD) usa DNS para ubicar los recursos requeridos por los controladores de dominio y otros servicios de dominio (como archivos, impresoras, correo, etc.). Dado que DNS es una parte integral del sistema de dominio de Active Directory, debe estar seguro desde el principio.
Al instalar DNS en Windows Server 2003, no modifique la configuración predeterminada para Active Directory DNS integrado. Microsoft comenzó a ofrecer esta configuración en 2000.
Esto significa que el sistema solo guarda los datos DNS en el servidor DNS y no guarda ni copia información sobre el controlador de dominio y el servidor de directorio global. Esto no solo mejora la velocidad de operación, sino que también mejora la eficiencia operativa de los tres servidores.
También es fundamental cifrar la transferencia de datos entre el servidor DNS y el cliente (u otro servidor). DNS usa el puerto TCP /UDP 53; al filtrar este puerto en diferentes puntos de su perímetro de seguridad, puede asegurarse de que el servidor DNS solo acepte conexiones autenticadas.
Además, también es un buen momento para implementar IPSec para cifrar la transmisión de datos entre el cliente DNS y el servidor. La activación de IPSec garantiza que la comunicación entre todos los clientes y servidores esté confirmada y encriptada. Esto significa que su cliente solo se comunica con servidores autenticados y ayuda a evitar que las solicitudes sean falsificadas o comprometidas.
Después de configurar el servidor DNS, continúe monitoreando la conexión, al igual que presta atención a otros objetivos de alto valor en la empresa. El servidor DNS requiere el ancho de banda disponible para atender la solicitud del cliente.
Si ve una gran cantidad de tráfico de red en una máquina de origen hacia un servidor DNS, es posible que haya sufrido una "denegación de servicio" (Dos). Corte la conexión directamente desde la fuente o desconecte la conexión de red del servidor hasta que investigue el problema. Recuerde que un ataque DoS exitoso en el servidor DNS causará directamente el bloqueo de Active Directory.
Con la configuración predeterminada (Actualización de seguridad dinámica), solo los clientes autenticados pueden registrar y actualizar la información del portal en el servidor. Esto puede evitar que un atacante modifique la información de su portal DNS, lo que puede inducir a error a los clientes en sitios web cuidadosamente diseñados para robar información importante, como información financiera.
También puede usar cuotas para evitar ataques de inundación de clientes en DNS. Los clientes usualmente solo pueden registrar 10 registros. Al limitar el número de destinos que puede registrar un solo cliente, puede evitar que un cliente realice ataques DoS en su propio servidor DNS.
Nota: asegúrese de utilizar cuotas diferentes para servidores DHCP, controladores de dominio y servidores de múltiples ubicaciones. Es posible que estos servidores deban registrar cientos de destinos o usuarios según las características que proporcionen.
El servidor DNS responderá a cualquier solicitud de consulta dentro de una zona autorizada. Para ocultar su arquitectura de red interna del mundo exterior, generalmente necesita configurar un espacio de nombres separado, lo que generalmente significa que un servidor DNS es responsable de su arquitectura DNS interna, y el otro servidor DNS es responsable de la arquitectura de DNS externa e Internet. Al evitar que los usuarios externos accedan a los servidores DNS internos, puede evitar la divulgación de recursos internos no abiertos.
Finalmente
Ya sea que esté ejecutando una red de Windows o una combinación de Unix y Windows, la seguridad de DNS debe estar en el centro de su red. Tome medidas para proteger el DNS de ataques externos e internos.
En la era actual de las redes, los productos tradicionales de una sola máquina de medios se han vuel
Por razones de trabajo, a menudo necesito usar Asp para desarrollar algunos programas pequeños, gene
Primero, la configuración básica En primer lugar, debemos cambiar algunas configuraciones en los pa
En la LAN, la enorme carga de trabajo causada por la interminable instalación, actualización, manten
El uso mágico de las variables de entorno en Windows 2000
Requisitos de hardware de Microsoft Windows Server 2008 detallados
Proceso de reparación después de que el sistema operativo es invadido
Windows Server 2008 Tecnología Hyper-V Resolución
Windows 2003 Active Directory Application
Instalación desatendida de Windows2000 Raiders
Algunas pruebas de gestión basadas en entorno Windows 2008
Ejemplo de mantenimiento de seguridad y resolución de errores de Windows 2000
Implementando Soft RAID con Windows 2003
Mejoras de Active Directory en Windows Server 2008: AD DS reiniciables
Uso flexible de Win 2003 para construir un servidor de seguridad de servidor de red
El botón "eliminar volumen" en el disco de win10 es gris y no se puede eliminar. Cómo resolverlo
Herramienta de descarga de imágenes ISO de la versión oficial de Win10 0x80070002 Problema
¿Qué debo hacer si la aplicación win10 no se carga? Win10 restablece todos los métodos de aplicación
Deje que Win 7 use Win 8 jacket
Consejos de actualización Win10 no recibieron cómo hacerlo
Cómo descargar window7 sin conexión
¿Cómo entrar al modo de seguridad Win10? Gráfico Win10 arranque en método de modo seguro