So konfigurieren Sie DNSSEC auf Windows Server

So Konfigurieren Sie Dnssec Auf Windows Server



Domainnamen -Systemsicherheitsverlängerungen oder DNSSEC ist eine Sammlung von Erweiterungen, um das DNS -Protokoll zu sichern. Es ist eine der Methoden zum Schutz des DNS -Servers zusammen mit DNS -Cache -Sperren Und DNS Socket Pool . Es verwendet kryptografische Signaturen, um DNS -Antworten zu validieren, um Ihr System zu schützen. In diesem Beitrag werden wir sehen, wie Sie können Konfigurieren Sie DNSSEC unter Windows Server



Konfigurieren Sie DNSSEC unter Windows Server

DNSSEC Verbessert die Sicherheit von DNS, indem Sie kryptografische Signaturen zur Validierung von DNS -Antworten verwenden und ihre Authentizität und Integrität sicherstellen. Es schützt vor häufigen Bedrohungen wie DNS -Spoofing und Cache -Manipulationen, wodurch die DNS -Infrastruktur zuverlässiger wird. Durch die Unterzeichnung von DNS-Zonen fügt DNSSEC eine Validierungsschicht hinzu, ohne den grundlegenden Abfrage-Wirkungs-Mechanismus zu ändern. Dies stellt sicher, dass DNS -Daten während der Übertragung weiterhin sicher sind und eine vertrauenswürdige Umgebung für Benutzer und Organisationen bieten. Da unser primäres Ziel darin besteht, Ihren DNS -Server zu sichern, werden wir nicht nur DNSSEC, sondern auch DNS -Socket -Pool und DNS -Cache -Verriegelung konfigurieren.





wermgr.exe Fehler

Um DNSSEC, DNS -Socket -Pool und DNS -Cache -Sperre zu konfigurieren, können Sie die unten genannten Schritte ausführen.





  1. Konfigurieren Sie DNSSEC
  2. Gruppenrichtlinien konfigurieren
  3. DNS Socket Pool
  4. DNS -Cache -Sperren

Lassen Sie uns im Detail darüber sprechen.



1] DNSSEC konfigurieren

none

Beginnen wir zunächst mit dem Einrichten von DNSSEC in unserem Domänencontroller. Dazu müssen Sie die unten genannten Schritte ausführen.

  1. Öffnen die  Servermanager.
  2. Dann gehen Sie zu  Werkzeuge> DNS.
  3. Erweitern Sie den Server dann  Vorwärts -Lookup -Zone,  Klicken Sie mit der rechten Maustaste auf den Domänencontroller und wählen Sie DNSSEC> Die Zone unterschreiben .
  4. Einmal der  Zone Signing Assistent  Klicken Sie auf Weiter.
  5. Wählen Passen Sie die Zonensignierungsparameter an  und klicken Sie auf Weiter.
  6. Wenn Sie auf dem sind  Schlüsselmeister  Fenster, Tick Der DNS-Server-Cloud-Server wird als Schlüsselmaster ausgewählt.  und klicken Sie auf Weiter.
  7. Wenn Sie auf der KSK -Schnittstelle für Schlüsselsignierschlüssel (KSK),  Klicken Sie auf Hinzufügen.
  8. Gehen Sie die Optionen durch und Sie müssen alle Felder korrekt ausfüllen. Sie müssen dies gemäß den Anforderungen Ihres Unternehmens ausfüllen und dann den Schlüssel hinzufügen.
  9. Klicken Sie nach dem Hinzufügen auf Weiter.
  10. Nachdem Sie die erreicht haben Zonensignierschlüssel (ZSK)  Option, klicken Sie auf Hinzufügen, füllen Sie das Formular aus und speichern Sie. Klicken Sie auf Weiter.
  11. Auf der Nächstes Secure (NSEC)  Bildschirm, füllen Sie die Details aus. NSEC (NEXT SACE) ist ein DNSSEC-Datensatz, mit dem die Nichteinhaltung eines Domainnamens nachgewiesen wird, indem die vor und danach in der DNS-Zone vorliegenden Namen angegeben werden, um sicherzustellen, dass die Antwort authentifiziert und manipulationssicher ist.
  12. Wenn Sie auf dem TA -Bildschirm sind, ticken Sie auf Aktivieren Sie die Verteilung der Vertrauensanker für diese Zonenprüfung  Und  Aktivieren Sie die automatische Aktualisierung von Vertrauensanker auf Key Rollover  Kontrollkästchen. Klicken Sie auf Weiter.
  13. Auf der Unterzeichnung und Wahlparameter Bildschirm, die DS -Details eingeben und auf Weiter klicken.
  14. Gehen Sie schließlich die Zusammenfassung durch und klicken Sie auf Weiter.
  15. Sobald Sie die erfolgreiche Nachricht erhalten haben, klicken Sie auf Fertig stellen.

none



Nach dem Konfigurieren der Zone müssen Sie zu gehen  Vertrauenspunkt> ae> Domain -Name  im DNS -Manager bestätigen.

2] Gruppenrichtlinie konfigurieren

none

Nach der Konfiguration der Zone müssen wir mithilfe des Dienstprogramms für Gruppenrichtlinien einige Änderungen an unserer Domänenrichtlinie vornehmen. Befolgen Sie dazu die unten genannten Schritte.

  1. Öffnen die  Gruppenrichtlinienmanagement  Programm.
  2. Jetzt müssen Sie zu gehen  Wald: Windows.ae> Domains> Windows.ae> Klicken Sie mit der rechten Maustaste auf die Standarddomänenrichtlinie.  und wählen Sie Bearbeiten.
  3. Navigieren zu Computerkonfiguration> Richtlinien> Windows -Einstellungen> Klicken Sie auf Richtlinien für die Namensauflösung im Gruppenpolitikverwaltungsredakteur.
  4. Im rechten Bereich unter Regeln erstellen , eingeben Windows.ae im Suffix -Feld, um die Regel auf das Namespace -Suffix anzuwenden.
  5. Überprüfen Sie beides Aktivieren Sie DNSSEC in dieser Regel Und Erfordern DNS -Clients, Namen und Adressdaten zu validieren Kästchen, dann klicken Sie Erstellen um die Regel abzuschließen.

So können Sie DNSSEC konfigurieren. Unsere Arbeit ist jedoch nicht erledigt. Um unseren Server zu sichern, sollten wir den DNS -Socket -Pool und den DNS -Cache -Sperren konfigurieren

3] DNS Socket Pool

none

Der DNS -Socket -Pool verbessert die DNS -Sicherheit, indem die Quellanschlüsse für ausgehende Abfragen zufällig sind, wodurch es den Angreifern schwieriger macht, Transaktionen vorherzusagen und auszunutzen. Sie müssen sich öffnen  Powershell  als Administrator und führen Sie den folgenden Befehl aus.

Get-DNSServer

ODER

Get-DnsServerSetting -All | Select-Object -Property SocketPoolSize

Sie müssen überprüfen  Socketpoolsize  die aktuelle Größe des Pools kennen.

Unser Ziel ist es, die Größe der Steckdose zu erhöhen. Je größer der Wert ist, desto besser der Schutz. Dazu müssen Sie den folgenden Befehl ausführen.

41E972EDDEE3C9BA8F491AFAAAACA7C6D2BAB6F

Hinweis: Der Wert kann nur zwischen 0 und 10000 liegen.

Starten Sie Ihren DNS -Server neu, und Sie können loslegen.

4] DNS -Cache -Sperren

none

DNS -Verriegelung verhindert, dass zwischengespeicherte DNS -Datensätze während ihres TTL überschrieben werden, um die Datenintegrität und den Schutz der Datenvergiftung vor der Cache -Vergiftung zu gewährleisten. Wir müssen den folgenden Befehl ausführen, um den Wert zu überprüfen.

F2D88657FC2627B191224D13587132C6768A844

Es sollte 100 sein; Wenn dies nicht der Fall ist, führen Sie den unten erwähnten Befehl aus, um ihn auf 100 zu setzen.

Set-DnsServerCache –LockingPercent 100

Wenn Sie diese Maßnahmen ergreifen, ist Ihr DNS -Server sicher.

Lesen:  So ändern Sie den DNS -Server mit Eingabeaufforderung oder PowerShell

Unterstützt Windows Server DNSSEC?

Ja, Windows Server unterstützt DNSSEC und ermöglicht es Ihnen, es so zu konfigurieren, dass sie DNS -Zonen sichern. Es verwendet digitale Signaturen, um DNS -Antworten zu validieren und Angriffe wie Spoofing zu verhindern. Sie können DNSSEC über den DNS -Manager oder die Befehle von PowerShell aktivieren.

Lesen:  Aktivieren und konfigurieren Sie DNS -Altern und -Scavavenging in Windows Server

Wie konfiguriere ich DNS für Windows Server?

Um DNS auf Windows Server zu konfigurieren, müssen wir zuerst die DNS -Serverrolle installieren. Sobald wir fertig sind, müssen wir eine statische IP -Adresse zuweisen und den DNS -Eintrag konfigurieren. Wir empfehlen Ihnen, unseren Leitfaden zu überprüfen, wie Sie Installieren und konfigurieren Sie DNS unter Windows Server.

Xbox One-Spiele deinstallieren sich

Lesen Sie auch: Ändern Sie die DNS -Einstellungen in Windows 11 leicht.

Beliebte Beiträge