確保Windows 2003域上的DNS安全

確保Windows Server 2003域上的網域名稱解析系統(domain name system，簡稱DNS)安全，是非常基本的一個要求。活動目錄(Active Directory，簡稱AD)使用DNS來定位網域控制站以及其他網域服務所需的資源(比如檔案，印表機，郵件等等)。由於DNS是活動目錄域體系不可或缺的一部分，所以從一開始就應當確保它的安全。

在Windows Server 2003上安裝DNS時，不要修改“活動目錄集成DNS”的預設設定。微軟在2000中開始提供這種設定。

這意味著系統僅僅在DNS伺服器上儲存DNS資料，而不會儲存或複製網域控制站和全域目錄伺服器上的相關資訊。這樣不僅可以提升運行速度，而且還提升了三種伺服器的運作效率。

對DNS伺服器和用戶端(或其他伺服器)之間的資料轉送進行加密也是至關重要的。DNS使用TCP/UDP的53連接埠;通過在你的安全界線上不同的點對這個連接埠進行過濾，你可以確保DNS伺服器只接受認證過的串連。

另外，這也是一個部署IPSec的好時機，來對DNS用戶端和伺服器之間的資料轉送進行加密。開啟IPSec可以確保所有用戶端和伺服器之間的通訊得到確認和加密。這意味著你的用戶端僅僅和認證過的伺服器通訊，並有助於阻止請求欺騙或損害。

配置完畢DNS伺服器之後，繼續監視串連，就像你留意企業中其他高價值目標一樣。DNS伺服器需要可用的頻寬以服務客戶的請求。

如果你看到某個源機器上朝著DNS伺服器發出了大量的網路通訊，你可能是遭受了“拒絕服務的攻擊”(denial-of-service，簡稱DoS)。直接從源頭切斷串連，或者斷掉伺服器的網路連接，直到你調查清楚問題之後再說。記住，一次成功的對DNS伺服器的DoS攻擊會直接導致活動目錄癱瘓。

使用預設的設定(動態安全更新)，只有認證過的用戶端才可以註冊並補救伺服器上的入口資訊。這可以阻止攻擊者修改你的DNS入口資訊，從而誤導客戶到精心偽造的網站上以竊取財務資料等重要訊息。

你同樣可以使用配額以阻止用戶端對DNS的洪水攻擊。用戶端通常只能註冊10個記錄。通過限制單個客戶可註冊的目標數目，你可以阻止一個用戶端對它自己的DNS伺服器進行DoS攻擊。

注意:確定你對DHCP伺服器，網域控制站，以及多重主機伺服器(multi-homed)使用了不同的定額。這些伺服器依據他們提供的功能不同，可能需要註冊上百個目標或使用者。

DNS伺服器將對一個授權地區內的任何查詢請求作出響應。要想對外部世界隱藏你的內部網路架構，通常需要設定一個分隔的姓名空間，這一般意味著一台DNS伺服器負責你的內部DNS架構，另一台DNS伺服器則負責外部以及Internet的DNS架構。通過阻止外部使用者訪問內部DNS伺服器，你可以防止內部非開放資源的泄露。

最後

不管你是運行一個Windows網路，或者是UNIX和Windows的混合體，DNS的安全都應該是你網路的核心。採取措施以保護DNS免受外部和內部的攻擊。