Win2000动态DNS的安全应用策略
来源:云南设计港 发布时间:2007-11-22 14:45:00
Windows2000 域名解析是基于动态DNS,动态DNS的实现是基于RFC 2136基础上的。在Windows 2000下,动态DNS是与DHCP、WINS及活动目录(AD)集成在一起的。在Windows 2000的域下有三种实现DNS的方法:与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS。当DNS完成集成到活动目录中后,我们可以利用Windows2000网络中的三个重要安全特性:安全动态更新、安全区域传输、对区域和资源记录的访问控制列表。
一、安全动态更新
在动态DNS(DDNS)中一个最重要的安全特性就是安全更新。在实现安全更新时一个主要的考虑是DNS项组成的记录的所有权。所有权是由DHCP的配置及对客户端的支持来决定的。
与客户端相关的有两种DNS记录:A记录和PTR记录,A记录解析名字到地址,而PTR记录解析地址到名字。地址是指一个客户端的IP地址,名字是指一个客户的完全合格域名,应该是计算机名加上网络的域名。
在Windows 2000环境中,当客户端通过DHCP请求一个IP时,客户端DNS记录就被注册。根据设置,客户端、DHCP服务器或者两者都可以更新客户的A记录和PTR记录,谁注册了这个记录,谁就对记录拥有所有权。
下面是在Windows2000网络中定义客户的A记录和PTR记录所有权的可选项。
1、Windows2000本机模式
在Windows2000环境下,DHCP服务器和DHCP客户端都可以通过DNS注册记录。当网络仅由Windows2000的服务器和客户端组成时,这种Windows2000环境被定义为"本机模式"。
当客户端是一个Windows2000客户时,默认配置是当客户在网络上注册时动态更新它自己的A记录,与此同时,DHCP服务器更新客户的PTR记录。因此,A记录的所有权属于客户端,PTR记录的所有权属于DHCP服务器。
第二种可能的配置是DHCP服务器更新正向和反向查找,在这种情况下,DHCP服务器同时拥有A记录和PTR记录的所有。
第三种可能的配置是DHCP服务器被配置为不执行动态更新,在这种情况下,客户端将更新A记录和PTR记录,同时也就拥有记录的所有权。
2、Windows2000混杂模式
在一个混杂模式的环境下,DHCP客户端不能在DNS * 册。所谓混杂模式即网络除Windows2000服务器、客户端外同时存在有WindowsNT4.0或Windows98客户。
先前的客户端,如WindowsNT4.0和Windows9x不能直接通过DNS注册。因为只有DHCP服务器可以通过DNS注册记录,在混杂环境中唯一的选择是让DHCP服务器注册A记录和PTR记录,在这种情况下,服务器拥有正向和反向查找记录的所有权。
3、安全动态更新
在Windows2000网络中,只有当活动目录与DNS区域集成时,安全动态更新才可用。安全动态更新意味着什么呢?在Windows2000中,它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录。为允许更新DNS区域和/或它的资源记录,除ACL外,动态更新也使用安全通道和认证。
Windows2000支持使用IETF草拟的"GSS Algorithm for TSIG "(GSS-TSIG)算法进行安全动态更新。这个算法使用 Kerberos v5 作为优先的认证协议,GSS-API在RFC2078中有定义.
二、区域
1、区域的类型
Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。
主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外,DNS数据库与其它数据库如WINS和DHCP保持独立,复制是从其它复制服务中独立设置。如果网络中有服务器运行低于8.1.2的BIND版本,则必须使用主要/辅助区域,因为在早先的版本中不支持动态更新。
如果安装了活动目录,DNS区域可以成为活动目录集成区域。这意味着DNS区域数据库成为活动目录数据库的一部分,每条记录都是活动目录的对象,每个活动目录对象拥有它自己的ACL(访问控制列表)。
2、区域传输或复制的类型
Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的区域传输,是整个区域数据库文件的复制。IXFR或增量区域传输,仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域,那么可以应用这些区域复制方法。IXFR支持在BIND 8.2.1及以上版本。
当 DNS与活动目录集成时,所有的区域和资源记录将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。
多主机模型的好处之一是没有单点失败的问题。这是可能的,因为DNS是活动目录数据库的一部分,而活动目录数据库被复制到所有的域控制器。
多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分,因此DNS区域传输作为活动目录复制的一部分完成。
3、区域传输的安全
如果Windows 2000的DNS配置为主要/辅助区域,是不能使用加密和压缩的。为了与BIND兼容,Windows 2000支持AXFR,每个消息发送/接受一个或多个资源记录。在BIND4.9.4以前的版本不支持多条资源记录由一个消息传输。为与BIND8.2.1版本兼容Windows2000支持IXFR,为与BIND8.1.2版本兼容Windows 2000 支持DNS通告。
当Windows 2000的DNS配置为与活动目录集成时,复制进程成为活动目录复制的一部分,因此它自动使用加密和压缩。
在Windows 2000下使用Kerberos v5进行加密。控制器之间的通信通道自动加密,不需要管理员配置。
当活动目录更新在"桥头"服务器间传输时,自动进行压缩。桥头服务器是在本地局域网服务器自动选择产生的,当活动目录使用广域网链路进行更新时,每个局域网的桥头服务器会与其它桥头服务器通信,这将大大减少通过 WAN 链路的流量。在这种情况下,为了节省带宽会自动压缩。
三、活动目录集成DNS 区域
在 Windows 2000下活动目录与DDNS集成,因此实现活动目录安全第一步是实现 DDNS的安全。
1、文件系统
使用NTFS。Windows 2000 的版本是 NTFS v5,此版本允许设置文件和文件夹的安全、加密文件系统和审核。NTFS v5 不与先前的NTFS兼容。在安装了Service Pack 4 或更高版本的NT4.0上只能读取NTFS v5。
NTFS通过设置文件夹和文件级别访问权限来限制网络或本地对文件的访问。
NTFS和共享权限可以被用来非常精确的控制权限和继承关系。
2、注册表
使用注册表编辑器编辑DACL关系到每一个注册表的配置单元。细节问题可以参考SANS出版的"Windows NT Security, Step-by-Step"。
3、Enterprise管理员和Schema管理员组
在Windows2000网络建立之后,限制访问这两个管理员组。这些组出现在根域下并且有最高的权限。根据域的结构,管理可以被委派到域结构,因此管理可以被限制到单个域。
4、加密文件系统
Windows2000的NTFS提供了使用加密文件系统的选择。EFS使用基于公共密钥的技术来进一步限制文件的未授权访问。
5、活动目录中的DNS
DNS的安装将扩展活动目录的架构,包含了DNSUpdateProxy组。这是一个非常强大的组,它允许创建对象,这是不安全的,当这种情况发生时,任何授权用户可以获得这些对象的所有权。
DNS中客户端的A记录和PTR记录会在DHCP处理进程中进行更新,这在上面有详细地叙述。当客户和服务器都是Windows2000时,安全动态更新可以通过默认安装来完成,当有其它的用户需要支持时,安全动态更新不能完成,除非DHCP服务器被加入到了DNSUpdateProxy组,加入DNSUpdateProxy组后,允许DHCP服务器为早期的客户端执行动态更新。
如果DHCP服务运行在一个域控制器时,需要特别考虑的是,添加DHCP服务器到DNSUpdateProxy组,将允许所有用户或计算机完全控制相应域控制器的DNS记录。
6、资源记录的所有权
DHCP服务器不能在早期的客户端上执行安全动态更新,这在Windows2000网络中是非常重要的。如果这种情况发生,会出现不能完全更新活动记录的情况。例如,一个NT4.0的客户端通过DHCP服务器在DNS中注册了一个名字,当这台机器被升级到Windows2000时,这个名字保持不变。DHCP服务器因其最先注册了这个名字而拥有这个名字的资源记录所有权,所以Windows 2000客户不能更新它自己的名字。
7、WINS查找
作为Windows2000最终的告诫,我将翻译说明为什么WINS将是Windows 2000网络中最可能需要的部分。为什么呢?对所有非Windows2000客户,NetBios解析仍是必需的。同样,所有需要NetBios的程序也将需要WINS来做名字解析。WINS通过两个特定的资源记录直接集成到了DNS中:WINS和WINS-R。这分别为WINS做正向和反向记录查找。
四、结论
总之,理解Windows2000使用DNS的过程是非常重要的。在文章的1.0部分"安全动态更新"和2.0部分"区域"中有了一个简述。理解Windows2000的"gotcha's"和"caveats"也是非常重要的。3.0部分活动目录集成DNS区域列举了相关的项目。
猜你喜欢
- 搜索引擎算法解密,以下是一些经验.提供大家分享. 希望对一些想学SEO或者正在学SEO的朋友有所帮助. 当然搜索引擎是不断的在变化.所以规律
- 1、简介说明在安装Procmail及Sanitizer后,系统都只能处理寄进服务器内的信件,无法处理利用邮件服务器来寄出病毒信,因此在安装P
- 前段时间,看麦田博客有一篇文章在探讨mayi首页的功能问题,大意为:假设首页为一扇门,这扇门是敞开的好还是半掩着的好,敞开的门能让人一眼的看
- 有Godaddy主机用户咨询有关Cron的一些问题,今天我们就来一起讨论下吧,其实Cron是一个计划任务的标准的Linux特征,叫做&quo
- 10月12日消息,据腾讯公司最新公布数据显示:2009年10月10日20点,腾讯QQ同时在线用户突破8000万。CNNIC日前最新发布的互联
- 在PR劫持的几个方法(序)中介绍了PR劫持的几个方法,今天就来详细的介绍一下PR劫持之域名绑定法。顾名思义,PR劫持之域名绑定法就是通过域名
- 如果攻击者能够获取用户WebMail的cookie信息,那么就能很容易地侵入用户的WebMail。攻击者如何获取用户WebMail的cook
- 网络一个虚拟的空间,却笼络了这么多的人心.由此可以看出它的魔力.现在SP的萧条,使一些电影站点与音乐站点纷纷找买主,因为有的连服务器费用都赚
- 10月28日消息,日本游戏大厂任天堂,计划要推出加大版DSi掌上型游戏机,屏幕将会大于4英寸,跟Sony的PSP差不多,而且还纳入更多新功能
- Godaddy-Linux主机帐户上的默认文档的有限顺序取决于你购买的主机帐户的类型,例如,Standard, ColdFusion, 或J
- Godaddy主机用户将备份文件放在根目录的_db_backups文件夹里。有一下几种方法可以下载备份文件到本地磁盘。使用FTP客户端下载1
- 校园网站的发展。是很多学校近年来关注的焦点,可以说是前景很多,很多学校都想建立自己学校的网站。校园网站的建设应明确以下几个问题:1、建立完善
- 一、阻断服务(Denial of Service)在探讨DDoS 之前我们需要先对 DoS 有所了解,DoS泛指黑客试图妨碍正常使用者使用网
- 读完本篇文章大家有必要看一下自己的友情链接,是不是已经被nofollow了。也许有些朋友问,什么是nofollow?简单的讲,就是虽然你的友
- 对于养活了大部分站长的百度,近期进行了大范围的更新,观察了百度近一个月,发现最近,百度大大地调整了算法,让很多站长唉声叹气,许多的普通的个人
- 为了便于搜索引擎抓取,俺们可以将wordpress进行静态URL重写、下面是URL ReWrite的规则!下面是Rewrite规则:(请将下
- 网上翻阅了很多的资料,很多人都说用netstat无法查看单个商品的使用状况。其实,很简单,用以下命令就可以得到一个商品的占用善。以下是以11
- 1)不要下载www.php.net上面那个Windows Installer装完了之后不能用MYSQL都不知道问题出在哪。永远修不好,没错的
- 本文去年12月11日网易首页随着自主研发的搜索引擎“有道”正式版问世,首页也做了相应调整;今年的3月底腾讯在毫无消息的前提下更换了新首页;今
- WordPress 3.0已经发布有差不多半个月了,如前面这篇帖子所介绍,WP3.0有个对我们来说比较实用的功能,就是他的多站点模式。Wor