确保Windows 域上的DNS安全
“歪鼻八卜”通过精心收集,向本站投稿了5篇确保Windows 域上的DNS安全,下面是小编给各位读者分享的确保Windows 域上的DNS安全,欢迎大家分享。
篇1:确保Windows 域上的DNS安全
确保Windows Server 2003域上的域名解析系统(domain name system,简称DNS)安全,是非常基本的一个要求,活动目录(Active Directory,简称AD)使用DNS来定位域控制器以及其他域服务所需的资源(比如文件,打印机,邮件等等)。由于DNS是活动目录域体系不可或缺的一部分,所以从一开始就应当确保它的安全。
在Windows Server 2003上安装DNS时,不要修改“活动目录集成DNS”的默认设置。微软在中开始提供这种设定。
这意味着系统仅仅在DNS服务器上保存DNS数据,而不会保存或复制域控制器和全局目录服务器上的相关信息。这样不仅可以提升运行速度,而且还提升了三种服务器的运作效率。
对DNS服务器和客户端(或其他服务器)之间的数据传输进行加密也是至关重要的。DNS使用TCP/UDP的53端口;通过在你的安全界线上不同的点对这个端口进行过滤,你可以确保DNS服务器只接受认证过的连接。
另外,这也是一个部署IPSec的好时机,来对DNS客户端和服务器之间的数据传输进行加密。开启IPSec可以确保所有客户端和服务器之间的通讯得到确认和加密。这意味着你的客户端仅仅和认证过的服务器通讯,并有助于阻止请求欺骗或损害。
配置完毕DNS服务器之后,继续监视连接,就像你留意企业中其他高价值目标一样,
DNS服务器需要可用的带宽以服务客户的请求。
如果你看到某个源机器上朝着DNS服务器发出了大量的网络通讯,你可能是遭受了“拒绝服务攻击”(denial-of-service,简称DoS)。直接从源头切断连接,或者断掉服务器的网络连接,直到你调查清楚问题之后再说。记住,一次成功的对DNS服务器的DoS攻击会直接导致活动目录瘫痪。
使用默认的设置(动态安全更新),只有认证过的客户端才可以注册并更新服务器上的入口信息。这可以阻止攻击者修改你的DNS入口信息,从而误导客户到精心伪造的网站上以窃取财务资料等重要信息。
你同样可以使用配额以阻止客户端对DNS的洪水攻击。客户端通常只能注册10个记录。通过限制单个客户可注册的目标数目,你可以阻止一个客户端对它自己的DNS服务器进行DoS攻击。
注意:确定你对DHCP服务器,域控制器,以及多宿主服务器(multi-homed)使用了不同的定额。这些服务器依据他们提供的功能不同,可能需要注册上百个目标或用户。
DNS服务器将对一个授权区域内的任何查询请求作出响应。要想对外部世界隐藏你的内部网络架构,通常需要设置一个分隔的姓名空间,这一般意味着一台DNS服务器负责你的内部DNS架构,另一台DNS服务器则负责外部以及Internet的DNS架构。通过阻止外部用户访问内部DNS服务器,你可以防止内部非开放资源的泄露。
最后
不管你是运行一个Windows网络,或者是UNIX和Windows的混合体,DNS的安全都应该是你网络的核心。采取措施以保护DNS免受外部和内部的攻击。
篇2:windows客户端加入域时报错:DNS名称不存在
windows客户端加入域时报错: DNS名称不存在,具体报错如下:
--------------------
注意: 此信息主要供网络管理员参考,如果您不是网络管理员,请通知网络管理员您收到了此信息,该信息已记录在文件 C:\Windows\debug\dcdiag.txt 中。
查询 DNS 以获取用于查找域“throld.com”的 Active Directory 域控制器(AD DC)的服务位置(SRV)资源记录时出现下列错误:
错误是: “DNS 服务器失败。”
(错误代码 0x0000232A RCODE_SERVER_FAILURE)
此查询用于查找 _ldap._tcp.dc._msdcs.throld.com 的 SRV 记录
此错误的常见原因包括:
- 此计算机使用的 DNS 服务器包含错误的根提示。此计算机配置为使用如下 IP 地址的 DNS 服务器:
192.111.7.193
127.0.0.1
- 下列一个或多个区域包含错误的委派:
throld.com
net
. (根目录区域)
----------------
解决办法:
修改DNS配置,最终的效果如下图所示:
1、在【_msdcs.你的域名】上右键-新建域“dc”-新建域“_tcp”,
2、在_tcp上右键-新建主机(A)-输入_ldap,ip填入DNS服务器的地址。
3、在在tcp目录下面,点击右键,选择“其他新记录”;创建一个后缀名为“_tcp.dc._msdcs.guanwei.org”srv记录“_ldap”;指向你的域控制器;
其中,“throld.com”是我的域名,192.168.2.192是DNS服务器IP地址
以上两项,根据你的实际情况下代替,其余格式请保持一致。
完成以后,回到客户端重新加载即可。
篇3:DNS域传送泄露漏洞windows及BT5下测试方法
DNS域传送泄露漏洞windows及BT5下测试方法如下:
假如要测试www.xxxxxx.net这个站点是否存在DNS域传送泄露漏洞,可以使用下面的方法:
<一>在Windows下测试方法:
运行CMD,输入nslookup -qa=ns 测试对象域名,即nslookup -qa=ns xxxxxxx.net,(ns是名字服务器记录)
接着输入nslookup,查看当前主机的DNS设置,并进入nslookup命令环境
然后执行server nameserver,即server ns1.play.net.cn
接着执行ls –d 测试对象域名,即ls –d xxxxxx.net
这样就可以列出测试对象在ns1.xxxx.cn上所有的DNS解析记录了,接着将server设置为ns2.xxxx.cn,同样操作即可列出测试对象在ns2.xxxxx.cn上所有的DNS解析记录了,
DNS域传送泄露漏洞windows及BT5下测试方法
,
<二>BT5下测试方法:
使用dnsenum测试
运行./ dnsenum.pl –enum 测试对象域名,即./ dnsenum.pl –enum cxxxxxs.net即可获取测试对象全部的DNS解析记录信息。
使用dnswalk测试
运行./ dnswalk 测试对象域名.,即./ dnswalk cxxxxx.net.(注意这里域名后有一个点,不要少了),即可获取测试对象全部的DNS解析记录信息。
篇4:Windows 上配置和应用安全服务器教程
一、介绍:
安全模板是 windows 2000 的新特性,它是 安全配置的物理表示方法,由 Windows 2000 支持的安全属性的文件( .inf )组成。它将所有现有的安全属性组织到一个位置以简化安全性管理。 安全模板所包含的安全性信息有这样七类:帐户策略、本地策略、时间日志、受限组、文件系统、注册表、系统服务。安全模板也可以用作安全分析。 .
二、适用范围
Windows 2000 专业版和服务器版
三、模板:
微软推荐了 一系列 Windows 2000 安全配置模板
W2KHG_baseline.inf – 应该应用于所有计算机的通用设置。
W2KHG_MemberWks.inf – 只针对作为域成员的工作站的设置。
W2KHG_MemberLaptop.inf – 只针对作为域成员的便携式计算机的设置,
W2KHG_MemberServer.inf – 只针对与域连接的服务器的设置。
W2KHG_DomainController.inf – 只针对域控制器的设置。
W2KHG_StandaloneWKS.inf – 只针对独立工作站的设置。
W2KHG_StandaloneSrv.inf – 只针对独立服务器的设置。
安全模板可以从 www.microsoft.com/downloads/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56&displaylang=en 下载
四、查看和编辑安全配置模板
1 、将所需的模板复制到“ \%Systemroot%SecurityTemplates ”目录中或硬盘的其他某一位置。
注意:如果您将它们复制到不同的位置,则需要 (a) 适当地保证该位置的安全,以使用户无法修改模板, (b) 将其添加到 MMC 的安全模板管理单元中。
2 、单击“开始”,单击“运行”,键入 mmc.exe ,然后单击“确定”。
篇5:电脑上图标都没了Windows安全
病症:李小姐来电话询问,我在用电脑浏览hao123这个网站时,出现了三次病毒预警提示,之后电脑就自动重新启动了,然后再开机桌面上所有的图标就都消失了,
诊断:根据李小姐的叙述,这种情形多常见于在安装/卸载软件后(当然,也不排除是病毒造成的)。在安装/卸载软件时,一些软件就会修改系统文件,以及修改、添加注册表键值。是电脑中的explorer文件出现了问题。
开方:可以先打开任务管理器(“Ctrl+Alt+Del”组合键即可打开),点击“文件”→“新建任务”,在打开的“创建新任务”对话框中输入“explorer”,单击“确定”后,稍等一下就可以见到桌面图标了,
通过以上步骤以后还需要对注册表进行以下修改,运行注册表编辑器,定位到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon,然后查看该分支下的Shell值是否为“Explorer.exe”。如果不是,就将其修改为“Explorer.exe”。如果通过这些步骤还不能解决的话,就要考虑重新安装系统了。
关 键 字:Windows安全
【确保Windows 域上的DNS安全】相关文章:
9.确保规章制度落实
10.确保的近义词
文档为doc格式
