确保Windows 2003系统域上的DNS安全小贴士
天下维客,你可以修改的网络知识库
| 操作系统 | Windows9x | Windows2000 | WindowsXP | Windows2003 | Windows应用 | Vista |
| Dos | Linux | Mac OS(Leopard) | Unix | FreeBSD | Solaris | AIX |
| OS/2 | Macintosh | IBM AIX | 其他操作系统 | 进程管理知识库 |
确保Windows Server 2003域上的域名解析系统(domain name system,简称DNS)安全,是非常基本的一个要求。活动目录(Active Directory,简称AD)使用DNS来定位域控制器以及其他域服务所需的资源(比如文件,打印机,邮件等等)。由于DNS是活动目录域体系不可或缺的一部分,所以从一开始就应当确保它的安全。
在Windows Server 2003上安装DNS时,不要修改“活动目录集成DNS”的默认设置。微软在2000中开始提供这种设定。
这意味着系统仅仅在DNS服务器上保存DNS数据,而不会保存或复制域控制器和全局目录服务器上的相关信息。这样不仅可以提升运行速度,而且还提升了三种服务器的运作效率。
对DNS服务器和客户端(或其他服务器)之间的数据传输进行加密也是至关重要的。DNS使用TCP/UDP的53端口;通过在你的安全界线上不同的点对这个端口进行过滤,你可以确保DNS服务器只接受认证过的连接。
另外,这也是一个部署IPSec的好时机,来对DNS客户端和服务器之间的数据传输进行加密。开启IPSec可以确保所有客户端和服务器之间的通讯得到确认和加密。这意味着你的客户端仅仅和认证过的服务器通讯,并有助于阻止请求欺骗或损害。
配置完毕DNS服务器之后,继续监视连接,就像你留意企业中其他高价值目标一样。DNS服务器需要可用的带宽以服务客户的请求。
如果你看到某个源机器上朝着DNS服务器发出了大量的网络通讯,你可能是遭受了“拒绝服务攻击”(denial-of-service,简称Dos)。直接从源头切断连接,或者断掉服务器的网络连接,直到你调查清楚问题之后再说。记住,一次成功的对DNS服务器的DoS攻击会直接导致活动目录瘫痪。
使用默认的设置(动态安全更新),只有认证过的客户端才可以注册并更新服务器上的入口信息。这可以阻止攻击者修改你的DNS入口信息,从而误导客户到精心伪造的网站上以窃取财务资料等重要信息。
你同样可以使用配额以阻止客户端对DNS的洪水攻击。客户端通常只能注册10个记录。通过限制单个客户可注册的目标数目,你可以阻止一个客户端对它自己的DNS服务器进行Dos攻击。
注意:确定你对DHCP服务器,域控制器,以及多宿主服务器(multi-homed)使用了不同的定额。这些服务器依据他们提供的功能不同,可能需要注册上百个目标或用户。
DNS服务器将对一个授权区域内的任何查询请求作出响应。要想对外部世界隐藏你的内部网络架构,通常需要设置一个分隔的姓名空间,这一般意味着一台DNS服务器负责你的内部DNS架构,另一台DNS服务器则负责外部以及Internet的DNS架构。通过阻止外部用户访问内部DNS服务器,你可以防止内部非开放资源的泄露。
最后
不管你是运行一个Windows网络,或者是Unix和Windows的混合体,DNS的安全都应该是你网络的核心。采取措施以保护DNS免受外部和内部的攻击。
- 更多请参见:操作系统
Windows2000所有条目
- Windows 2000中的加密技术被发现漏洞
- 确保Windows 2003系统域上的DNS安全小贴士
- Windows 2003系统也玩图片收藏屏保
- Windows 2003系统十例最新配置技巧
- 打造Windows 2000 路由器
- win2000系统文件详解
- WinNT/2K Web站点安全解决方案
- Win2K 进程对照表
- Windows登录密码解救
- 保证Windows 2000安全
- Win2000系统无法打开网页的解决方法
- 9x/NT/2000注册表网络进行优化设置
- 方便快捷 简化Win 2003域控制器密码
- 找到适合Win2000的系统配置程序
- 远程修改Win2003系统机器名
- Windows2000系统
- Win2003中快速实现网络共享还原
- 在Win2000中实现远程访问服务
- Win2000简单安全配置
- Windows下权限设置方法详解
- 关闭任务管理器杀不了的进程
- 让Win2003管理后台打印
- Win2003中配置SNMP服务网络安全
- Windows 2000中NTFS权限介绍及应用
- Win 2000中DLL文件报错或丢失解决方案
- 去除掉Windwos 2000系统的登录界面
- 让Win2k也用上XP绚丽主题
- Win2000绝版安全配置教程
- Win2000终端存在的问题及解决方案
- 替换法解决Win2000“关门”故障
- 让Windows 98/2000也拥有图片屏保
- Win2000优化之:网络优化技巧
- Win2000优化之:为Win2000减肥
- Win2000优化之:显示方面的优化技巧
- Win2000优化之:加快启动速度
- Win2000优化之:硬件及环境的优化
- Win2000优化之:其他优化技巧
- Win 2000/XP的蓝屏
- Windows 2000中的信息网络安全技术
- 系统文件如何快速地修复
- Windows 2000/98功能互补技巧
- WIN2000下VPN详细配置实例
- Win 2000/XP蓝屏解决实用技巧
- Win2000命令全集
- Windows98/2000安装与卸载技巧
- Win2000重大漏洞:服务器可被黑客控制
- 紧急修复盘恢复Win98/2000双启动
- Win 2000系统中的关机技巧
- Win2000启动故障解决
- 如何让Windows 2000自动登录
- Win2000升级包兼容问题 安全软件受牵连
- 运行Win 2000只需要32MB内
- 用Windows 2000安全审核让入侵者显形
- Windows 2000安全审核让入侵者显形
- Windows 2000系统Ping不通 缓存在作怪
- 修改Win2k注册表抵抗拒绝服务
- 在Windows 2000系统中预防Ping攻击
- Windows 2000 微软最成功的失败
- Windows 2000中隐患重重的十大“服务”
- NTFS格式大硬盘数据恢复特殊案例
- 电脑高手常用技巧应用全接解
- 有效防范自己的IP泄漏的办法
- Win2000系统应用技巧
- 在SCSI硬盘上装Windows 2000
- 优化Windows 2000的NTFS系统
- 在Win 2000中启用“兼容性”功能
- 防止电脑死机之Win2000篇
- 为Windows请个“系统医生”
- Windows 2000操作系统光盘探秘
- 全面打造安全防线
- 快速展开注册表编辑器分支的技巧
- 打造更加快速优质的Windows 2000
- 体验Win 2000运行如飞的感觉
- 学习win2000注册表
- Windows 2000 Server安装经验
- Win2000/XP任务管理器能个性化
- Win2000/XP的秘密辅助功能
- 在NTFS格式下打造纯DOS
- Windows 2000 优化完全攻略
- 克隆windows 2000管理员帐号
- 本地磁盘也玩儿自动播放
- 使用命令行参数为系统打补丁
- Windows如何进行自我保护
- 电脑应用高等技巧
- Win 2000系统安全隐患与防范详解
- 设置Windows 2000启动项
- 锁定注册表
- 解决Windows 2000无法启动的问题
- 在Windows NT域和Windows 2000域之间建立信任关系
- Windows 2000 安全
- Windows 2000缓冲区溢出入门
- Windows 2000系统日志及其删除方法
- 安装windows 2000的时候出现inaccessible_boot_device错误
- 如何恢复windows 2000中个人配置
- 如何在已装Windowns XP机器上再装Windows 2000
