在Windows2000下实现动态DNS的安全考虑(2)

原作者:kuku 添加时间:2007-05-28 原文发表:2007-05-28 人气:7

本文章共3573字，分3页，当前第2页，快速翻页：

-----------------------------------------------------------------------------------------------------------------------------------------------

本文提示：《在Windows2000下实现动态DNS的安全考虑(2)》是本站编辑们为广大网友精选的实用文章，本文阐述了关于文章的相关理论，相对来说专业性强，但是本文只是针对于某个问题提出的见解与论述，未必能辐射到相关问题的方方面面，所以本文处理问题的方法仅仅为您提供一些参考。更多问题请查阅学习中国网其他栏目哦.

-----------------------------------------------------------------------------------------------------------------------------------------------

2.2 区域传输或复制的类型

Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的区域传输，是整个区域数据库文件的复制。IXFR或增量区域传输，仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域，那么可以应用这些区域复制方法。IXFR支持在BIND 8.2.1及以上版本。

当 DNS与活动目录集成时，所有的区域和资源记录将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。

多主机模型的好处之一是没有单点失败的问题。这是可能的，因为DNS是活动目录数据库的一部分，而活动目录数据库被复制到所有的域控制器。

多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分，因此DNS区域传输作为活动目录复制的一部分完成。

2.3 区域传输的安全

如果Windows 2000的DNS配置为主要/辅助区域，是不能使用加密和压缩的。为了与BIND兼容，Windows 2000支持AXFR，每个消息发送/接受一个或多个资源记录。在BIND4.9.4以前的版本不支持多条资源记录由一个消息传输。为与BIND8.2.1版本兼容Windows2000支持IXFR，为与BIND8.1.2版本兼容Windows 2000 支持DNS通告。

当Windows 2000的DNS配置为与活动目录集成时，复制进程成为活动目录复制的一部分，因此它自动使用加密和压缩。

在Windows 2000下使用Kerberos v5进行加密。控制器之间的通信通道自动加密，不需要管理员配置。

当活动目录更新在"桥头"服务器间传输时，自动进行压缩。桥头服务器是在本地局域网服务器自动选择产生的，当活动目录使用广域网链路进行更新时，每个局域网的桥头服务器会与其它桥头服务器通信，这将大大减少通过 WAN 链路的流量。在这种情况下，为了节省带宽会自动压缩。

3. 活动目录集成DNS 区域

在 Windows 2000下活动目录与DDNS集成，因此实现活动目录安全第一步是实现 DDNS的安全。

3.1 文件系统

使用NTFS。Windows 2000 的版本是 NTFS v5，此版本允许设置文件和文件夹的安全、加密文件系统和审核。NTFS v5 不与先前的NTFS兼容。在安装了Service Pack 4 或更高版本的NT4.0上只能读取NTFS v5。

NTFS通过设置文件夹和文件级别访问权限来限制网络或本地对文件的访问。

NTFS和共享权限可以被用来非常精确的控制权限和继承关系。

3.2 注册表

使用注册表编辑器编辑DACL关系到每一个注册表的配置单元。细节问题可以参考SANS出版的"Windows NT Security, Step-by-Step"。

3.3 Enterprise管理员和Schema管理员组

在Windows2000网络建立之后，限制访问这两个管理员组。这些组出现在根域下并且有最高的权限。根据域的结构，管理可以被委派到域结构，因此管理可以被限制到单个域。

3.4 加密文件系统

Windows2000的NTFS提供了使用加密文件系统的选择。EFS使用基于公共密钥的技术来进一步限制文件的未授权访问。

3.5 活动目录中的DNS

DNS的安装将扩展活动目录的架构，包含了DNSUpdateProxy组。这是一个非常强大的组，它允许创建对象，这是不安全的，当这种情况发生时，任何授权用户可以获得这些对象的所有权。

DNS中客户端的A记录和PTR记录会在DHCP处理进程中进行更新，这在上面有详细地叙述。当客户和服务器都是Windows2000时，安全动态更新可以通过默认安装来完成，当有其它的用户需要支持时，安全动态更新不能完成，除非DHCP服务器被加入到了DNSUpdateProxy组，加入DNSUpdateProxy组后，允许DHCP服务器为早期的客户端执行动态更新。

如果DHCP服务运行在一个域控制器时，需要特别考虑的是，添加DHCP服务器到DNSUpdateProxy组，将允许所有用户或计算机完全控制相应域控制器的DNS记录。

3.6 资源记录的所有权

DHCP服务器不能在早期的客户端上执行安全动态更新，这在Windows2000网络中是非常重要的。如果这种情况发生，会出现不能完全更新活动记录的情况。例如，一个NT4.0的客户端通过DHCP服务器在DNS中注册了一个名字，当这台机器被升级到Windows2000时，这个名字保持不变。DHCP服务器因其最先注册了这个名字而拥有这个名字的资源记录所有权，所以Windows 2000客户不能更新它自己的名字。

本文章更多内容：<<上一页 - 1 - 2 - 3 - 下一页>>

本页地址