Quais são as implicações de segurança da configuração “Permitir Sufixo de DNS Acrescentando a Consultas de Nome de Vários Marcadores Não Qualificados”?

1

A política de grupo Allow DNS Suffix Appending to Unqualified Multi-Label Name Queries foi introduzida no Windows Vista e bloqueia o comportamento de subdomínios filhos testados em relação ao sufixo de domínio, por exemplo:

ping example verificará example , mas também example.mydnssuffix.local , mas ping example.tld verificará example.tld , mas não example.tld.mydnssuffix.local .

Como isso está desabilitado por padrão, presumo que haja implicações de segurança envolvidas em ativar isso. Alguém sabe quais seriam essas implicações de segurança?

    
por Steven Blom 05.12.2014 / 03:25

1 resposta

2

Clientes DNS que gastam mais tempo acrescentando sufixos a nomes ambíguos e tentando novamente suas pesquisas levarão mais tempo antes de desistir. Isso pode causar lentidão significativa em aplicativos que executam muitas consultas DNS.

Ele também pode criar uma preocupação de segurança se os clientes DNS resolverem erroneamente um nome que esteja sob o controle de uma entidade externa e mal-intencionada. Anexar sufixos DNS é basicamente o oposto da devolução, que pode apresentar preocupações semelhantes. Vou copiar o exemplo do site do Windows IT Pro (que é principalmente sobre a devolução, mas também se aplica um pouco para acrescentar sufixos):

A domain-joined computer's primary domain suffix is mycompany.fl.us (mycompany is located in Florida, hence the extension fl.us) and tries to connect to mailserver1. In this example, the DNS client will try to resolve mailserver1.mycompany.fl.us and mailserver1.fl.us. The last name in this list, mailserver1.fl.us, is outside of the control of my company. If a malicious person has registered mailserver1.fl.us in the DNS, the name resolution will succeed, the domain-joined computer will try to connect to it, and the malicious user could spoof an internal server.

Então, por que você quer ligá-lo? Você pode querer dar aos clientes DNS a flexibilidade adicional de poder resolver nomes ambíguos. Mas, teoricamente, isso poderia levar a uma preocupação de segurança. Portanto, cabe ao administrador decidir o que é mais apropriado para o ambiente dele ou dela.

Leitura adicional:

link

E:

link

    
por 05.12.2014 / 05:10