Domain-Name-System
在 Windows 上啟用不安全的 DNS 更新有哪些實際風險?
在 Windows 上啟用不安全的 DNS 更新有哪些實際風險?
據我發現,啟用不安全的 DNS 更新是啟用 DHCP Linux 客戶端使用 FQDN 註冊其名稱的要求。
我確實想知道其中涉及的實際風險,以便評估是否可以啟用這些功能。
據我所知,一台機器將無法接管另一個保留名稱,這將是我現在唯一真正關心的問題。
顯然這將是 DDOS,但考慮到我們在這裡談論的是 Intranet,我懷疑這可能是一個真正的風險。
您是否在您的域上啟用了它?您是否曾經因為遇到一些問題而不得不禁用它?
您基本上永遠不應該允許不安全的更新。就我個人而言,我什至不喜歡 DNS 伺服器甚至允許您關閉安全更新。這允許您網路上的任何人(如黑客)註冊 DNS 記錄,而無需進行 Active Directory 身份驗證。這將允許攻擊者“欺騙”您網路上的 DNS 名稱,並將人們重定向到他們認為他們要去的另一台伺服器。
此設置可能會意外而不是惡意破壞您的一天的另一個範例…有人關閉了安全更新…網路上所有電腦上的所有 HP ILO(帶外管理)突然能夠開始動態註冊他們自己的 DNS 記錄…但是 ILO 的名稱與伺服器相同,因此它們覆蓋了主機伺服器的 DNS 記錄!
禁用安全更新是一個糟糕的主意。只是不要。
對於讓您的 Linux 客戶端利用 DHCP 以安全地註冊 DNS 記錄的可能解決方案,這可能會有所幫助:在我的 Windows 2008 DNS/DHCP 伺服器上為我的 Linux 機器註冊 A 記錄