Quais são algumas das práticas recomendadas para configurar um novo servidor de domínio com segurança?

1

Acabei de assumir um trabalho como um novo administrador de sistema para uma pequena empresa local. Eles têm um servidor DNS muito antigo (8 anos) executando o Windows 2000 Server. Esse servidor fornece acesso para cerca de 20 a 30 clientes. Estamos querendo atualizar para um novo servidor, mas antes eu estava procurando uma visão geral da substituição de um servidor DNS antigo como esta será minha primeira vez fazendo isso. Obviamente, a segurança é uma obrigação e eu estou familiarizado com o uso do Active Directory, mas nunca configurei desde o início.

Especificamente, o que estou procurando é:

  • Quais são algumas falhas de segurança geralmente perdidas
  • Visão geral básica sobre o que fazer (ou onde procurar uma visão geral)
  • Práticas recomendadas para configuração inicial
por KronoS 31.01.2011 / 21:15

1 resposta

2

Desde o ano 2000, é provável que o domínio de pesquisa direta da própria árvore do AD seja uma zona Integrada. Adicionar isso a um novo servidor é tão fácil quanto DCPromover um novo controlador de domínio, adicionar o serviço DNS e fazer com que ele aconteça. Depois vem a diversão de atualizar as configurações de DNS de todos (DHCP!).

Em termos de segurança, existem algumas áreas:

  • Restringir Transferências de Zona . Você deseja restringir as Transferências de Zona apenas para as máquinas que precisam dele. E se você usar apenas servidores AD-Integrated para servir DNS, não será necessário . Temos servidores BIND que usamos como secundários para nosso DNS de domínio do AD, portanto, eles estão na nossa lista de transferência de zona. Você pode não ter nenhum.
  • Restringir DNS dinâmico . Fora da caixa, o AD permite (ou fez em 2000) atualizações de DNS dinâmicas não autenticadas. Esta é a opção mais compatível, mas representa uma grande falha de segurança. Turing isso para "apenas atualizações seguras" é altamente recomendado.
  • Verifique as permissões de atualização de DNS . Verifique a guia "Segurança" das suas zonas e verifique se as permissões estão definidas corretamente. Quem sabe se o que foi definido há 8 anos ainda é válido.
por 31.01.2011 / 21:37