Was sind die praktischen Risiken beim Aktivieren der unsicheren DNS-Updates unter Windows?

9

Was sind die praktischen Risiken beim Aktivieren der unsicheren DNS-Updates unter Windows?

Soweit ich festgestellt habe, ist das Aktivieren der unsicheren DNS-Updates eine Voraussetzung dafür, dass DHCP-Linux-Clients ihre Namen nicht bei einem vollqualifizierten Domänennamen registrieren können.

Ich möchte wissen, welche praktischen Risiken damit verbunden sind, um zu beurteilen, ob es in Ordnung ist, diese zu aktivieren oder nicht.

Soweit ich weiß, wäre eine Maschine nicht in der Lage, einen anderen reservierten Namen zu übernehmen, was das einzige wirkliche Problem wäre, das ich jetzt habe.

Natürlich wäre es das DDOS, aber wenn man bedenkt, dass es sich hier um ein Intranet handelt, bezweifle ich, dass dies ein echtes Risiko sein könnte.

Haben Sie es auf Ihrer Domain aktiviert oder nicht? Mussten Sie es jemals deaktivieren, weil Sie Probleme damit hatten?

domain-name-system active-directory dhcp internal-dns Sorin
quelle
Nun, wenn Sie möchten, dass jemand in der Lage ist, einen Hostnamen zu deklarieren, der ihm gehört (wie DSL-Boxen für Endverbraucher) ...
Joshua

Antworten:

10

Unsicher

Grundsätzlich sollten Sie niemals nicht sichere Updates zulassen. Persönlich gefällt mir nicht einmal, dass Sie mit dem DNS-Server sogar sichere Updates deaktivieren können. Auf diese Weise kann jeder in Ihrem Netzwerk (wie ein Hacker) DNS-Einträge registrieren, ohne dass eine Active Directory-Authentifizierung erforderlich ist. Dies würde es dem Angreifer ermöglichen, einen DNS-Namen in Ihrem Netzwerk zu "fälschen" und Personen auf einen anderen Server umzuleiten, als sie gedacht hatten.

Ein weiteres Beispiel dafür, wann diese Einstellung Ihren Tag eher versehentlich als böswillig ruinieren kann ... jemand hat sichere Updates deaktiviert ... alle HP ILOs (Out-of-Band-Management) auf allen Computern im Netzwerk konnten plötzlich dynamisch registrieren ihre eigenen DNS-Einträge ... aber die ILOs wurden wie die Server benannt, sodass sie die DNS-Einträge der Hostserver überschrieben haben!

Das Deaktivieren sicherer Updates ist eine schreckliche Idee. Tu es einfach nicht.

Dies ist möglicherweise hilfreich, um Ihre Linux-Clients dazu zu bringen, DHCP zu nutzen, um DNS-Einträge sicher zu registrieren: Registrieren Sie einen Eintrag für meine Linux-Box auf meinem Windows 2008-DNS / DHCP-Server

Ryan Ries
quelle
Ja, mir ist einmal passiert, dass jemand einen Computer mit dem gleichen Namen wie ein Server angeschlossen hat und weil mein Vorgänger alle Arten von Sicherheit deaktiviert hatte, wurde der DNS-Eintrag des Servers durch diesen zufälligen PC ersetzt, also alle Benutzeranforderungen an den Server landet auf diesem PC !!!
ETL
@ETL haben Sie erwähnt, dass dieser "Server" wahrscheinlich lange Zeit offline war und deshalb ein anderer Computer seinen Namen annehmen konnte. Ich bezweifle, dass dies passieren kann, während die Maschine in Betrieb ist.
Sorin
@ Sorin - Server war definitiv aktiv. Ein Linux-Server mit, wenn ich mich richtig erinnere, einem statischen DNS-Eintrag (der auch nicht für die Bearbeitung gesperrt war)
ETL
Ich arbeite an der Implementierung der Lösung aus dem verlinkten Beitrag, ich hoffe, es wird funktionieren.
Sorin