Які практичні ризики ввімкнути незахищені оновлення DNS для Windows?


9

Які практичні ризики ввімкнути незахищені оновлення DNS для Windows?

Наскільки я виявив, що включення незахищених оновлень DNS є необхідною умовою для того, щоб клієнти DHCP Linux могли реєструвати свої імена в FQDN.

Я хочу знати, які практичні ризики пов'язані з цим, щоб оцінити, чи нормально це ввімкнено чи ні.

Наскільки я знаю, машина не змогла б придбати ще одне зарезервоване ім’я, яке було б єдиним справжнім клопотом, яке я зараз переживаю.

Очевидно, що це буде DDOS, але, враховуючи, що ми говоримо про інтранет, я сумніваюся, що це може бути реальним ризиком.

У вас це ввімкнено у вашому домені чи ні? Вам коли-небудь доводилося вимикати його через якісь проблеми з ним?


Добре, якщо ви хочете, щоб хтось міг оголосити будь-яке ім’я хоста - це їхнє (наприклад, DSL-коробки для споживачів) ...
joshudson

Відповіді:


10

Невпевнено

По суті, ви ніколи не повинні допускати незахищених оновлень. Особисто мені навіть не подобається, що сервер DNS навіть дозволяє вимкнути безпечні оновлення. Це дозволяє будь-кому у вашій мережі (як хакер) реєструвати записи DNS без необхідності автентифікації Active Directory. Це дозволить зловмиснику "підробити" ім'я DNS у вашій мережі та перенаправити людей на інший сервер, ніж той, на який вони думали, що збираються.

Ще один приклад, коли цей параметр може зіпсувати ваш день випадково, а не зловмисно ... хтось вимкнув безпечні оновлення ... усі ILO IL (поза управління смугами) на всіх машинах у мережі раптово змогли почати динамічно реєструватися власні записи DNS ... але МОП були названі такими ж, як і сервери, тому вони перезаписали записи DNS-серверів хостів!

Відключення безпечних оновлень - жахлива ідея. Просто ні.

Для можливого рішення, щоб ваші клієнти Linux могли використовувати DHCP для безпечної реєстрації DNS-записів, це може допомогти: Зареєструйте записи для мого вікна Linux на моєму сервері DNS / DHCP Windows 2008


Так, трапилось зі мною одного разу, коли хтось підключив комп'ютер з таким же ім'ям, як і сервер, і оскільки мій попередник вимкнув усі форми безпеки, запис DNS-сервера замінили на цей випадковий ПК, тому всі користувачі запитують на сервер, що закінчується на цьому ПК !!!
ETL

@ETL Ви вже згадували, що цей "сервер" тривалий час був офлайн і тому інша машина змогла взяти свою назву. Сумніваюсь, це може статися під час роботи машини.
sorin

@sorin - сервер точно не працює. Сервер Linux з, якщо я правильно пригадую, статичним записом DNS (який також не був заблокований для редагування)
ETL

Я працюю над впровадженням рішення з пов’язаного поста, сподіваюся, воно спрацює.
sorin
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.