Domainnamen -Systemsicherheitsverlängerungen oder DNSSEC ist eine Sammlung von Erweiterungen, um das DNS -Protokoll zu sichern. Es ist eine der Methoden zum Schutz des DNS -Servers zusammen mit DNS -Cache -Sperren Und DNS Socket Pool . Es verwendet kryptografische Signaturen, um DNS -Antworten zu validieren, um Ihr System zu schützen. In diesem Beitrag werden wir sehen, wie Sie können Konfigurieren Sie DNSSEC unter Windows Server
Konfigurieren Sie DNSSEC unter Windows Server
DNSSEC Verbessert die Sicherheit von DNS, indem Sie kryptografische Signaturen zur Validierung von DNS -Antworten verwenden und ihre Authentizität und Integrität sicherstellen. Es schützt vor häufigen Bedrohungen wie DNS -Spoofing und Cache -Manipulationen, wodurch die DNS -Infrastruktur zuverlässiger wird. Durch die Unterzeichnung von DNS-Zonen fügt DNSSEC eine Validierungsschicht hinzu, ohne den grundlegenden Abfrage-Wirkungs-Mechanismus zu ändern. Dies stellt sicher, dass DNS -Daten während der Übertragung weiterhin sicher sind und eine vertrauenswürdige Umgebung für Benutzer und Organisationen bieten. Da unser primäres Ziel darin besteht, Ihren DNS -Server zu sichern, werden wir nicht nur DNSSEC, sondern auch DNS -Socket -Pool und DNS -Cache -Verriegelung konfigurieren.
wermgr.exe Fehler
Um DNSSEC, DNS -Socket -Pool und DNS -Cache -Sperre zu konfigurieren, können Sie die unten genannten Schritte ausführen.
- Konfigurieren Sie DNSSEC
- Gruppenrichtlinien konfigurieren
- DNS Socket Pool
- DNS -Cache -Sperren
Lassen Sie uns im Detail darüber sprechen.
1] DNSSEC konfigurieren
Beginnen wir zunächst mit dem Einrichten von DNSSEC in unserem Domänencontroller. Dazu müssen Sie die unten genannten Schritte ausführen.
- Öffnen die Servermanager.
- Dann gehen Sie zu Werkzeuge> DNS.
- Erweitern Sie den Server dann Vorwärts -Lookup -Zone, Klicken Sie mit der rechten Maustaste auf den Domänencontroller und wählen Sie DNSSEC> Die Zone unterschreiben .
- Einmal der Zone Signing Assistent Klicken Sie auf Weiter.
- Wählen Passen Sie die Zonensignierungsparameter an und klicken Sie auf Weiter.
- Wenn Sie auf dem sind Schlüsselmeister Fenster, Tick Der DNS-Server-Cloud-Server wird als Schlüsselmaster ausgewählt. und klicken Sie auf Weiter.
- Wenn Sie auf der KSK -Schnittstelle für Schlüsselsignierschlüssel (KSK), Klicken Sie auf Hinzufügen.
- Gehen Sie die Optionen durch und Sie müssen alle Felder korrekt ausfüllen. Sie müssen dies gemäß den Anforderungen Ihres Unternehmens ausfüllen und dann den Schlüssel hinzufügen.
- Klicken Sie nach dem Hinzufügen auf Weiter.
- Nachdem Sie die erreicht haben Zonensignierschlüssel (ZSK) Option, klicken Sie auf Hinzufügen, füllen Sie das Formular aus und speichern Sie. Klicken Sie auf Weiter.
- Auf der Nächstes Secure (NSEC) Bildschirm, füllen Sie die Details aus. NSEC (NEXT SACE) ist ein DNSSEC-Datensatz, mit dem die Nichteinhaltung eines Domainnamens nachgewiesen wird, indem die vor und danach in der DNS-Zone vorliegenden Namen angegeben werden, um sicherzustellen, dass die Antwort authentifiziert und manipulationssicher ist.
- Wenn Sie auf dem TA -Bildschirm sind, ticken Sie auf Aktivieren Sie die Verteilung der Vertrauensanker für diese Zonenprüfung Und Aktivieren Sie die automatische Aktualisierung von Vertrauensanker auf Key Rollover Kontrollkästchen. Klicken Sie auf Weiter.
- Auf der Unterzeichnung und Wahlparameter Bildschirm, die DS -Details eingeben und auf Weiter klicken.
- Gehen Sie schließlich die Zusammenfassung durch und klicken Sie auf Weiter.
- Sobald Sie die erfolgreiche Nachricht erhalten haben, klicken Sie auf Fertig stellen.
Nach dem Konfigurieren der Zone müssen Sie zu gehen Vertrauenspunkt> ae> Domain -Name im DNS -Manager bestätigen.
2] Gruppenrichtlinie konfigurieren
Nach der Konfiguration der Zone müssen wir mithilfe des Dienstprogramms für Gruppenrichtlinien einige Änderungen an unserer Domänenrichtlinie vornehmen. Befolgen Sie dazu die unten genannten Schritte.
- Öffnen die Gruppenrichtlinienmanagement Programm.
- Jetzt müssen Sie zu gehen Wald: Windows.ae> Domains> Windows.ae> Klicken Sie mit der rechten Maustaste auf die Standarddomänenrichtlinie. und wählen Sie Bearbeiten.
- Navigieren zu Computerkonfiguration> Richtlinien> Windows -Einstellungen> Klicken Sie auf Richtlinien für die Namensauflösung im Gruppenpolitikverwaltungsredakteur.
- Im rechten Bereich unter Regeln erstellen , eingeben Windows.ae im Suffix -Feld, um die Regel auf das Namespace -Suffix anzuwenden.
- Überprüfen Sie beides Aktivieren Sie DNSSEC in dieser Regel Und Erfordern DNS -Clients, Namen und Adressdaten zu validieren Kästchen, dann klicken Sie Erstellen um die Regel abzuschließen.
So können Sie DNSSEC konfigurieren. Unsere Arbeit ist jedoch nicht erledigt. Um unseren Server zu sichern, sollten wir den DNS -Socket -Pool und den DNS -Cache -Sperren konfigurieren
3] DNS Socket Pool
Der DNS -Socket -Pool verbessert die DNS -Sicherheit, indem die Quellanschlüsse für ausgehende Abfragen zufällig sind, wodurch es den Angreifern schwieriger macht, Transaktionen vorherzusagen und auszunutzen. Sie müssen sich öffnen Powershell als Administrator und führen Sie den folgenden Befehl aus.
Get-DNSServer
ODER
Get-DnsServerSetting -All | Select-Object -Property SocketPoolSize
Sie müssen überprüfen Socketpoolsize die aktuelle Größe des Pools kennen.
Unser Ziel ist es, die Größe der Steckdose zu erhöhen. Je größer der Wert ist, desto besser der Schutz. Dazu müssen Sie den folgenden Befehl ausführen.
41E972EDDEE3C9BA8F491AFAAAACA7C6D2BAB6FHinweis: Der Wert kann nur zwischen 0 und 10000 liegen.
Starten Sie Ihren DNS -Server neu, und Sie können loslegen.
4] DNS -Cache -Sperren
DNS -Verriegelung verhindert, dass zwischengespeicherte DNS -Datensätze während ihres TTL überschrieben werden, um die Datenintegrität und den Schutz der Datenvergiftung vor der Cache -Vergiftung zu gewährleisten. Wir müssen den folgenden Befehl ausführen, um den Wert zu überprüfen.
F2D88657FC2627B191224D13587132C6768A844Es sollte 100 sein; Wenn dies nicht der Fall ist, führen Sie den unten erwähnten Befehl aus, um ihn auf 100 zu setzen.
Set-DnsServerCache –LockingPercent 100
Wenn Sie diese Maßnahmen ergreifen, ist Ihr DNS -Server sicher.
Lesen: So ändern Sie den DNS -Server mit Eingabeaufforderung oder PowerShell
Unterstützt Windows Server DNSSEC?
Ja, Windows Server unterstützt DNSSEC und ermöglicht es Ihnen, es so zu konfigurieren, dass sie DNS -Zonen sichern. Es verwendet digitale Signaturen, um DNS -Antworten zu validieren und Angriffe wie Spoofing zu verhindern. Sie können DNSSEC über den DNS -Manager oder die Befehle von PowerShell aktivieren.
Lesen: Aktivieren und konfigurieren Sie DNS -Altern und -Scavavenging in Windows Server
Wie konfiguriere ich DNS für Windows Server?
Um DNS auf Windows Server zu konfigurieren, müssen wir zuerst die DNS -Serverrolle installieren. Sobald wir fertig sind, müssen wir eine statische IP -Adresse zuweisen und den DNS -Eintrag konfigurieren. Wir empfehlen Ihnen, unseren Leitfaden zu überprüfen, wie Sie Installieren und konfigurieren Sie DNS unter Windows Server.
Xbox One-Spiele deinstallieren sich
Lesen Sie auch: Ändern Sie die DNS -Einstellungen in Windows 11 leicht.