在 Windows 上启用不安全的 DNS 更新有哪些实际风险?
sor*_*rin 9 domain-name-system dhcp active-directory internal-dns
在 Windows 上启用不安全的 DNS 更新有哪些实际风险?
据我所知,启用不安全的 DNS 更新是启用 DHCP Linux 客户端向 FQDN 注册其名称的要求。
我确实想知道这涉及到实际风险,以便评估是否可以启用这些功能。
据我所知,一台机器将无法接管另一个保留名称,这将是我现在唯一真正关心的问题。
显然这将是 DDOS,但考虑到我们在这里谈论的是内联网,我怀疑这可能是一个真正的风险。
您是否在您的域上启用了它?您是否曾经因为遇到一些问题而不得不禁用它?
Rya*_*ies 10
您基本上永远不应该允许非安全更新。我个人甚至不喜欢 DNS 服务器甚至允许您关闭安全更新。这允许您网络上的任何人(如黑客)无需 Active Directory 身份验证即可注册 DNS 记录。这将允许攻击者“欺骗”您网络上的 DNS 名称,并将人们重定向到他们认为要去的另一台服务器。
另一个例子是当此设置意外而不是恶意破坏您的一天时……有人关闭了安全更新……网络上所有机器上的所有 HP ILO(带外管理)突然能够开始动态注册他们自己的 DNS 记录……但 ILO 的名称与服务器相同,因此他们覆盖了主机服务器的 DNS 记录!
禁用安全更新是一个糟糕的主意。只是不要。
对于让您的 Linux 客户端利用 DHCP 以安全地注册 DNS 记录的可能解决方案,这可能会有所帮助:在我的 Windows 2008 DNS/DHCP 服务器上为我的 Linux 机器注册 A 记录
| 归档时间: |
|
| 查看次数: |
1875 次 |
| 最近记录: |