Как настроить DNSSEC на Windows Server

Доменные имени Система расширения безопасности или DNSSEC - это набор расширений для обеспечения протокола DNS. Это один из методов защиты сервера DNS вместе с DNS Кэш Блокировка и DNS Bool Pool Полем Он использует криптографические подписи для проверки ответов DNS для защиты вашей системы. В этом посте мы увидим, как вы можете Настройка DNSSEC на Windows Server

изменить URL-адрес paypal.me

Настройка DNSSEC на Windows Server

DNSSEC Улучшает безопасность DNS с использованием криптографических подписей для проверки ответов DNS, обеспечивая их подлинность и целостность. Он защищает от общих угроз, таких как подделка DNS и подделка кеша, что делает DNS -инфраструктуру более надежной. Подписав зоны DNS, DNSSEC добавляет слой валидации без изменения основного механизма-запроса. Это гарантирует, что данные DNS остаются безопасными во время передачи, предоставляя надежную среду для пользователей и организаций. Поскольку наша основная цель - обеспечить ваш DNS -сервер, мы собираемся настроить не только DNSSEC, но и Pool DNS -Pool и блокировку кэша DNS.

Чтобы настроить DNSSEC, DNS -розетки и блокировку кэша DNS, вы можете выполнить шаги, упомянутые ниже.

1. Настройка DNSSEC
2. Настройка групповой политики
3. DNS Bool Pool
4. DNS Кэш Блокировка

Давайте подробно поговорим о них.

1] Настройка DNSSEC

Давайте сначала начнем с настройки DNSSEC в нашем контроллере домена. Для этого вам нужно выполнить шаги, упомянутые ниже.

1. Открыть  Диспетчер серверов.
2. Затем иди  Инструменты> DNS.
3. Развернуть сервер, затем  Зона вперед, зона,  Щелкните правой кнопкой мыши на контроллере домена и выберите Dnssec> подписать зону Полем
4. Однажды  Зона подписания мастера  Появится, нажмите на следующий.
5. Выбирать Настроить параметры подписания зоны  и нажмите на следующий.
6. Если вы в  Ключевой мастер  окно, тик DNS Server Cloud-Server выбирается в качестве основного мастера,  и нажмите на следующий.
7. Когда вы находитесь на Интерфейс ключа ключа (KSK),  Нажмите на добавление.
8. Просмотрите параметры, и вам нужно правильно заполнить все поля. Вы должны заполнить это в соответствии с требованиями вашей организации, а затем добавить ключ.
9. После добавления нажмите на следующий.
10. После того, как вы достигнете Ключ подписания зоны (ZSK)  Опция, нажмите «Добавить», заполнить форму и сохранить. Нажмите на следующий.
11. На Далее безопасно (NSEC)  экран, заполните детали. NSEC (Next Secult)-это запись DNSSEC, используемая для доказывания небываемости доменного имени, предоставляя имена, которые поступают до и после него в зоне DNS, гарантируя, что ответ был аутентифицирован и защищен от защиты.
12. Когда вы на экране TA, тик Включить распределение трастовых якорей для этой проверки зоны  и  Включить автоматическое обновление трастовых якорей на переносе ключей  Флакторы. Нажмите на следующий.
13. На Параметры подписания и опроса Экран, введите детали DS и нажмите «Далее».
14. Наконец, просмотрите резюме и нажмите на следующее.
15. Как только вы получите успешное сообщение, нажмите «Закончить».

После настройки зоны вам нужно перейти на  Доверие> ae> доменное имя  в DNS -менеджере подтвердить.

2] Настройка групповой политики

После настройки зоны нам необходимо внести некоторые изменения в нашу доменную политику, используя утилиту управления групповой политикой. Для этого выполните шаги, упомянутые ниже.

1. Открыть  Управление групповой политикой  программа
2. Теперь вам нужно пойти в  Лес: Windows.ae> Домены> Windows.AE> Щелкните правой кнопкой мыши по политике домена по умолчанию,  и выберите «Редактировать».
3. Перейти к Конфигурация компьютера> Политики> Настройки Windows> Нажмите на политику разрешения имени в редакторе управления групповой политикой.
4. В правой панели, под Создать правила , входить Windows.ae В поле суффикса, чтобы применить правило к суффиксу пространства имен.
5. Проверьте оба Включить DNSSEC в этом правиле и Требуйте, чтобы клиенты DNS проверяли имен и адресные данные Компсы, затем нажмите Создавать Чтобы завершить правило.

Вот как вы можете настроить DNSSEC. Однако наша работа не выполнена. Чтобы обеспечить наш сервер, мы должны настроить пул сокетов DNS и блокировка кэша DNS

3] бассейн гнезда DNS

Пул сокетов DNS повышает безопасность DNS, делая исходные порты случайными для исходящих запросов, что затрудняет злоумышленников предсказать и использовать транзакции. Вам нужно открыть  PowerShell  как администратор и запустите следующую команду.

Get-DNSServer

ИЛИ

Get-DnsServerSetting -All | Select-Object -Property SocketPoolSize

Вам нужно проверить  SocketPoolsize  Чтобы узнать текущий размер бассейна.

Наша цель - увеличить размер гнезда; Чем больше значение, тем лучше защита. Для этого вам нужно запустить следующую команду.

Примечание. Значение может быть только от 0 до 10000.

Перезапустите свой сервер DNS, и вам будет хорошо.

4] блокировка кеша DNS

Блокировка DNS предотвращает перезаписываться Cached DNS -записи во время их TTL, обеспечивая целостность данных и защиту от отравления кэшем. Нам нужно запустить следующую команду, чтобы проверить значение.

Это должно быть 100; Если это не так, запустите команду, упомянутую ниже, чтобы установить ее на 100.

Set-DnsServerCache –LockingPercent 100

Если вы примете эти меры, ваш DNS -сервер будет безопасным.

Читать:  Как изменить DNS -сервер с помощью командной строки или PowerShell

Поддерживает ли Windows Server DNSSEC?

Да, Windows Server поддерживает DNSSEC и позволяет настроить его для обеспечения зон DNS. Он использует цифровые подписи для проверки ответов DNS и предотвращения атак, таких как подделка. Вы можете включить DNSSEC через DNS -менеджер или команды PowerShell.

Читать:  Включить и настраивать DNS старение и массаж в Windows Server

Как настроить DNS для Windows Server?

Чтобы настроить DNS на Windows Server, нам нужно сначала установить роль DNS Server. После этого нам нужно назначить статический IP -адрес и настроить запись DNS. Мы рекомендуем вам проверить наше руководство о том, как Установите и настройте DNS на Windows Server.

Также прочитайте: Легко изменить настройки DNS в Windows 11.