Windows'da güvenli olmayan DNS güncellemelerini etkinleştirmenin pratik riskleri nelerdir?

Windows'da güvenli olmayan DNS güncellemelerini etkinleştirmenin pratik riskleri nelerdir?

Güvenli olmayan DNS güncellemelerini etkinleştirmenin bulduğum kadarıyla, DHCP Linux istemcilerinin adlarını bir FQDN'ye kaydettirmelerini sağlamak için bir gerekliliktir.

Bunları etkinleştirip etkinleştirmemenin uygun olup olmadığını değerlendirmek için bununla ilgili pratik riskler olduğunu bilmek istiyorum.

Bildiğim kadarıyla bir makine şu anda sahip olduğum tek gerçek endişe olacak başka bir ayrılmış adı ele geçiremezdi.

Açıkçası DDOS olurdu ama burada intranet hakkında konuştuğumuz düşünüldüğünde, bunun gerçek bir risk olabileceğinden şüpheliyim.

Alan adınızda etkinleştirilmiş mi? Bazı sorunlarınız nedeniyle devre dışı bırakmak zorunda kaldınız mı?

Temel olarak hiçbir zaman güvenli olmayan güncellemelere izin vermemelisiniz. Şahsen DNS sunucusunun güvenli güncellemeleri kapatmanıza bile izin vermesini sevmiyorum. Bu, ağınızdaki herkesin (bilgisayar korsanı gibi) Active Directory kimlik doğrulaması gerekmeden DNS kayıtlarını kaydetmesine olanak tanır. Bu, saldırganın ağınızdaki bir DNS adını "taklit etmesine" ve insanları, düşündüklerinden başka bir sunucuya yönlendirmesine olanak tanır.

Bu ayarın kötü amaçlı yazılım yerine gününüzü yanlışlıkla ne zaman mahvedebileceğinin başka bir örneği ... biri güvenli güncellemeleri kapattı ... ağdaki tüm makinelerdeki tüm HP ILO'lar (bant dışı yönetim) aniden dinamik olarak kayda başlayabiliyordu kendi DNS kayıtları ... ancak ILO'lara sunucularla aynı ad verildi, bu nedenle ana sunucuların DNS kayıtlarının üzerine yazdılar!

Güvenli güncellemeleri devre dışı bırakmak korkunç bir fikirdir. Sadece yapma.

Linux istemcilerinizin DNS kayıtlarını güvenli bir şekilde kaydettirmek için DHCP'den yararlanmalarını sağlamak için olası bir çözüm bulmak gerekirse, bu yardımcı olabilir: Windows 2008 DNS / DHCP sunucumda Linux kutum için A kayıtlarını kaydet