Які практичні ризики ввімкнути незахищені оновлення DNS для Windows?

Які практичні ризики ввімкнути незахищені оновлення DNS для Windows?

Наскільки я виявив, що включення незахищених оновлень DNS є необхідною умовою для того, щоб клієнти DHCP Linux могли реєструвати свої імена в FQDN.

Я хочу знати, які практичні ризики пов'язані з цим, щоб оцінити, чи нормально це ввімкнено чи ні.

Наскільки я знаю, машина не змогла б придбати ще одне зарезервоване ім’я, яке було б єдиним справжнім клопотом, яке я зараз переживаю.

Очевидно, що це буде DDOS, але, враховуючи, що ми говоримо про інтранет, я сумніваюся, що це може бути реальним ризиком.

У вас це ввімкнено у вашому домені чи ні? Вам коли-небудь доводилося вимикати його через якісь проблеми з ним?

По суті, ви ніколи не повинні допускати незахищених оновлень. Особисто мені навіть не подобається, що сервер DNS навіть дозволяє вимкнути безпечні оновлення. Це дозволяє будь-кому у вашій мережі (як хакер) реєструвати записи DNS без необхідності автентифікації Active Directory. Це дозволить зловмиснику "підробити" ім'я DNS у вашій мережі та перенаправити людей на інший сервер, ніж той, на який вони думали, що збираються.

Ще один приклад, коли цей параметр може зіпсувати ваш день випадково, а не зловмисно ... хтось вимкнув безпечні оновлення ... усі ILO IL (поза управління смугами) на всіх машинах у мережі раптово змогли почати динамічно реєструватися власні записи DNS ... але МОП були названі такими ж, як і сервери, тому вони перезаписали записи DNS-серверів хостів!

Відключення безпечних оновлень - жахлива ідея. Просто ні.

Для можливого рішення, щоб ваші клієнти Linux могли використовувати DHCP для безпечної реєстрації DNS-записів, це може допомогти: Зареєструйте записи для мого вікна Linux на моєму сервері DNS / DHCP Windows 2008