ドメイン名システムセキュリティ拡張機能 またはDNSSECは、DNSプロトコルを保護するための拡張機能のコレクションです。これは、DNSサーバーを保護する方法の1つです。 DNSキャッシュロック そして DNSソケットプール 。暗号化署名を使用して、システムを保護するためにDNS応答を検証します。この投稿では、あなたがどのようにできるかを見るつもりです WindowsサーバーでDNSSECを構成します
WindowsサーバーでDNSSECを構成します
DNSSEC 暗号化署名を使用してDNS応答を検証し、その信頼性と整合性を確保することにより、DNSのセキュリティを強化します。 DNSスプーフィングやキャッシュの改ざんなどの一般的な脅威から保護し、DNSインフラストラクチャの信頼性を高めます。 DNSゾーンに署名することにより、DNSSECは、基本的なクエリ応答メカニズムを変更せずに検証層を追加します。これにより、DNSデータは送信中に安全なままであり、ユーザーと組織に信頼できる環境を提供します。主な目標はDNSサーバーを保護することであるため、DNSSECだけでなく、DNSソケットプールとDNSキャッシュロックも構成します。
DNSSEC、DNSソケットプール、およびDNSキャッシュロックを構成するには、以下の手順に従うことができます。
- DNSSECを構成します
- グループポリシーを構成します
- DNSソケットプール
- DNSキャッシュロック
それらについて詳しく話しましょう。
1] DNSSECを構成します
まず、ドメインコントローラーにDNSSECをセットアップすることから始めましょう。そのためには、以下の手順に従う必要があります。
- 開きます サーバーマネージャー。
- 次に、に行きます ツール> DNS。
- 次に、サーバーを展開します フォワードルックアップゾーン、 ドメインコントローラーを右クリックして選択します DNSSEC>ゾーンに署名します 。
- 一度 ゾーン署名ウィザード 表示され、[次をクリックします。
- 選択します ゾーン署名パラメーターをカスタマイズします 次にクリックします。
- あなたがいるなら キーマスター 窓、ティック DNSサーバークラウドサーバーはキーマスターとして選択されます。 次にクリックします。
- あなたがにいるとき キー署名キー(KSK)インターフェイス、 [追加]をクリックします。
- オプションを実行すると、すべてのフィールドを正しく埋める必要があります。組織の要件に従ってこれを記入してから、キーを追加する必要があります。
- 追加したら、[次へ]をクリックします。
- あなたが到達した後 ゾーン署名キー(ZSK) オプション、[追加]をクリックして、フォームに入力し、保存します。次にクリックします。
- に 次のセキュア(NSEC) 画面、詳細に記入してください。 NSEC(Next Secure)は、DNSゾーンの前後に来る名前を提供することにより、ドメイン名の非存在を証明するために使用されるDNSSECレコードであり、応答が認証され、改ざん防止が保証されます。
- TAスクリーンにいるときは、チェックします このゾーンチェックのためにトラストアンカーの配布を有効にします そして キーロールオーバーでトラストアンカーの自動更新を有効にします チェックボックス。次にクリックします。
- に 署名とポーリングパラメーター 画面、DS詳細を入力し、[次へ]をクリックします。
- 最後に、概要を確認し、[次へ]をクリックします。
- 成功したメッセージが表示されたら、[完了]をクリックします。
ゾーンを構成した後、行く必要があります Trust Point> AE>ドメイン名 DNSマネージャーで確認します。
2]グループポリシーを構成します
ゾーンを構成した後、グループポリシー管理ユーティリティを使用してドメインポリシーを変更する必要があります。そのためには、以下の手順に従ってください。
Windows10タスクバーのぼかし
- 開きます グループポリシー管理 プログラム。
- 今、あなたは行く必要があります フォレスト:windows.ae> domains> windows.ae>デフォルトドメインポリシーを右クリックします。 編集を選択します。
- に移動します コンピューターの構成>ポリシー> [Windowsの設定]> [名前解決]ポリシーをクリックします グループポリシー管理エディターで。
- 右ペイン、アンダー ルールを作成します 、 入力 windows.ae サフィックスボックスで、ルールを名前空間接尾辞に適用します。
- 両方を確認してください このルールでDNSSECを有効にします そして DNSクライアントに名前とアドレスデータを検証するように要求します ボックス、クリックします 作成する ルールを確定するため。
それがDNSSECを構成する方法です。しかし、私たちの仕事は終わっていません。サーバーを保護するには、DNSソケットプールとDNSキャッシュロックを構成する必要があります
3] DNSソケットプール
DNSソケットプールは、発信クエリのソースポートをランダムにすることにより、DNSセキュリティを強化し、攻撃者がトランザクションを予測および悪用することを難しくします。あなたは開く必要があります Powershell 管理者として、次のコマンドを実行します。
Get-DNSServer
または
Get-DnsServerSetting -All | Select-Object -Property SocketPoolSize確認する必要があります socketpoolsize プールの現在のサイズを知るため。
私たちの目標は、ソケットのサイズを増やすことです。値が大きいほど、保護が良くなります。そのためには、次のコマンドを実行する必要があります。
41E972EDDEE3C9BEBA8F491AFAAAAACA7C6D2BAB6F注:値は0〜10000のみです。
DNSサーバーを再起動すると、行ってもいいでしょう。
4] DNSキャッシュロック
DNSロックは、キャッシュされたDNSレコードがTTL中に上書きされないようにし、キャッシュ中毒に対するデータの整合性と保護を確保します。値を確認するには、次のコマンドを実行する必要があります。
F2D88657FC2627B191224D13587132C6768A844100でなければなりません。そうでない場合は、以下のコマンドを実行して100に設定します。
Set-DnsServerCache –LockingPercent 100
これらの測定を行うと、DNSサーバーは安全になります。
読む: コマンドプロンプトまたはPowerShellでDNSサーバーを変更する方法
Windows ServerはDNSSECをサポートしていますか?
はい、Windows ServerはDNSSECをサポートし、DNSゾーンを保護するように構成できます。デジタル署名を使用して、DNS応答を検証し、スプーフィングなどの攻撃を防ぎます。 DNSマネージャーまたはPowerShellコマンドを介してDNSSECを有効にすることができます。
読む: Windows ServerでDNSのエージングとスカベンジングを有効にして構成する
Windowsサーバー用のDNSを構成するにはどうすればよいですか?
WindowsサーバーでDNSを構成するには、最初にDNSサーバーの役割をインストールする必要があります。完了したら、静的IPアドレスを割り当ててDNSエントリを構成する必要があります。方法についてガイドを確認することをお勧めします WindowsサーバーにDNSをインストールして構成します。
Windowsホットパッチダウンローダー
また読む: Windows 11のDNS設定を簡単に変更します。
