在 Windows 上启用不安全的 DNS 更新有哪些实际风险?
据我发现,启用不安全的 DNS 更新是允许 DHCP Linux 客户端使用 FQDN 注册其名称的必要条件。
我确实想知道这其中涉及的实际风险,以便评估是否可以启用这些功能。
据我所知,机器无法接管另一个保留名称,这是我现在唯一真正担心的问题。
显然这可能是 DDOS,但考虑到我们这里讨论的是内联网,我怀疑这可能是一个真正的风险。
您是否已在域中启用它?您是否曾因遇到问题而不得不禁用它?
答案1
您基本上永远都不应该允许非安全更新。我个人甚至不喜欢 DNS 服务器允许您关闭安全更新。这允许您网络上的任何人(如黑客)无需 Active Directory 身份验证即可注册 DNS 记录。这将允许攻击者“欺骗”您网络上的 DNS 名称,并将人们重定向到他们认为要访问的另一台服务器。
另一个例子是,此设置可能会意外地而不是恶意地毁掉您的一天......有人关闭了安全更新......网络上所有机器上的所有 HP ILO(带外管理)突然能够开始动态注册自己的 DNS 记录...但 ILO 的名称与服务器相同,因此它们覆盖了主机服务器的 DNS 记录!
禁用安全更新是个糟糕的想法。千万不要这么做。
对于让您的 Linux 客户端利用 DHCP 来安全地注册 DNS 记录的可能解决方案,这可能会有所帮助:在我的 Windows 2008 DNS/DHCP 服务器上为我的 Linux 机器注册 A 记录