Windows2003安全之强化域控制器(11)

　　创建或更新系统密钥：

　　1.点击“开始”菜单，点击“运行”，输入“syskey”，然后点击“确定”。

　　2.点击“启用加密”（Encryption Enabled），然后点击“更新”（Update）。

　　3.选择希望的选项，然后点击“确定”。

　　与DNS集成的 Active Directory

　　Microsoft 建议您在本指南定义的三种环境下，使用与DNS集成的 Active Directory ，部分原因在于：将这些区域集成到 Active Directory中可以简化保护DNS基础结构安全的过程。

　　保护 DNS 服务器

　　保护DNS服务器的安全对于包含 Active Directory 的任何环境都很重要。下面提供了一些有关保护DNS安全的建议和解释。

　　当DNS服务器遭受攻击时，攻击者的一个可能的目标就是控制对DNS客户查询做出响应的DNS返回信息。这样，客户信息便有可能会被误导到未经授权的计算机。IP欺骗和DNS缓存破坏就是这种攻击方式的一些例子。

　　对于IP欺骗，它利用一个授权用户的IP地址以获得对计算机或网络的访问。缓存破坏是指一台未经授权的主机将有关另一台主机的错误信息发送到DNS服务器的缓存中。攻击结果将导致客户机信息被错误地发送到未经授权的计算机。

　　一旦客户机无意中与未经授权的计算机开始通信，这些计算机便可能企图访问存储在客户计算机上的信息。

　　不是所有的攻击都集中在对DNS服务器的欺骗上。有些DoS攻击可能会改变合法DNS服务器上的记录，使其提供无效地址作为对客户查询的回应。由于服务器提供的地址是无效的，客户机和服务器便不能定位它们需要的资源，例如域控制器、Web服务器或者文件共享。

　　因此，本指南建议您对在这三种环境下使用的路由器进行配置，截取欺骗性质的IP数据包以确保DNS服务器的IP地址不被其他计算机所蒙骗。

　　配置安全的动态更新

　　Windows Server 2003 DNS客户机服务支持动态的DNS更新，这使得客户系统能够直接向数据库中添加DNS记录。如果服务器被配置为可接收不安全的更新信息，而攻击者使用了一台支持DDNS协议的客户机，动态DNS服务器便有可能从这台客户机接收恶意或未经授权的更新信息。

　　至少，攻击者可能向DNS数据库中增加伪造的项目；在最坏的情形下，攻击者可能覆盖或删除DNS服务器的合法项目。这种攻击可能导致下述情形：

　　将客户机引向未经授权的域控制器：当一台客户机提交一个DNS查询，请求查找域控制器地址时，一台被愚骗的DNS服务器可能会返回一台未经授权服务器的地址。然后，通过使用其它和DNS无关的攻击手段，客户机可能被错误地向一台虚假的服务器发送安全信息。

　　以无效地址响应DNS查询：这使得客户机和服务器互相不能定位。如果客户机不能定位服务器，它们将无法访问目录。当域控制器无法定位其他域控制器时，目录复制将终止，从而产生一种能够通过森林影响用户的DoS情形。

　　导致一种DoS攻击，服务器磁盘空间可能被一个填满虚假记录的巨大区域文件耗尽，或者由于增加了大量的记录项目而降低复制速度。

　　使用安全的DDNS更新可以保证：只有当注册请求来自于 Active Directory 森林中的有效客户机时，请求才会获得处理。这大大限制了攻击者破坏DNS服务器完整性的机会。

　　因此，本指南推荐在其定义的三种环境下，将DNS服务器配置为仅接受安全的动态更新。