我有一台运行 Windows Server 2012 R2 的远程专用服务器。它是托管在数据中心的一台服务器。我们一直遇到 DNS 服务因漏洞而遭到滥用的问题。
所以我希望能够完全关闭 DNS。我 90% 确定我们不需要它。但是,我也不是 100% 确定。我们使用远程桌面连接远程访问服务器,它通过 IIS 和其他一些服务(例如 SVN)托管一些 Web API。
禁用 DNS 服务是否安全?
答案1
如果无法访问服务器,就很难确切判断是否需要它,但听起来您正在运行公共 DNS 服务器,因为它已成为攻击目标。
在公共互联网上运行 DNS 服务器的唯一原因是提供记录,因此如果有人在不需要它的情况下正确设置它,我会感到惊讶。
最好的起点是调查您的域的 DNS 记录。
例如,假设您的公司拥有域名 example.com 和 example.org。请检查这两个域名的名称服务器记录 (NS) 是否未指向该特定服务器。
检查此相同内容的另一种方法是打开mmc.exe服务器并添加 DNS 管理单元。查看转发区域下的内容,查看服务器配置为提供哪种类型的记录。
答案2
听起来好像 DNS 递归已启用,幸运的是,这个问题很容易回答:
- 检查任何正向或反向查找区域。
- 如果有任何正向区域,请检查注册商处这些域名的名称服务器记录,并确保它们没有指向 DNS 服务器。
- 如果不是,请完全关闭 DNS。
- 如果是,请在服务器上禁用递归。
在执行最后两项操作之前,请确保将网络配置中的服务器的 DNS 服务器 IP 地址更改为备用服务器,因为当 DNS 服务器启用递归时,它通常会将记录解析为自身。
答案3
由于您不确定是否需要 DNS 服务,因此唯一的办法就是停止本地 DNS 服务,看看是否有任何操作受到影响。停止之前,只需查看 localhost 是否用于 DNS 解析;它可能需要用于连接。在这种情况下,请使用另一个 DNS 服务器进行解析,检查 Internet 访问,然后继续停止本地 DNS 服务。