Sådan konfigureres DNSSEC på Windows Server

Domænenavn System Sikkerhedsudvidelser Eller DNSSEC er en samling af udvidelser til at sikre DNS -protokollen. Det er en af ​​metoderne til at beskytte DNS -serveren sammen med DNS -cache -låsning og DNS Socket Pool . Den bruger kryptografiske underskrifter til at validere DNS -svar for at beskytte dit system. I dette indlæg skal vi se, hvordan du kan Konfigurer DNSSEC på Windows Server

Konfigurer DNSSEC på Windows Server

DNSSEC Forbedrer sikkerheden for DNS ved hjælp af kryptografiske underskrifter til at validere DNS -svar, hvilket sikrer deres ægthed og integritet. Det beskytter mod almindelige trusler som DNS -forfalskning og cache -manipulation, hvilket gør DNS -infrastrukturen mere pålidelig. Ved at underskrive DNS-zoner tilføjer DNSSEC et lag af validering uden at ændre den grundlæggende forespørgselsresponsmekanisme. Dette sikrer, at DNS -data forbliver sikre under transmission, hvilket giver et pålideligt miljø for brugere og organisationer. Da vores primære mål er at sikre din DNS -server, vil vi konfigurere ikke kun DNSSEC, men også DNS ​​Socket Pool og DNS Cache Locking.

For at konfigurere DNSSEC, DNS Socket Pool og DNS -cache -låsning, kan du følge nedenstående trin.

1. Konfigurer DNSSEC
2. Konfigurer gruppepolitikken
3. DNS Socket Pool
4. DNS -cache -låsning

Lad os tale om dem i detaljer.

1] Konfigurer DNSSEC

hvordan man kun udskriver valgte celler i Excel

Lad os først starte med at opsætte DNSSEC i vores domænecontroller. For at gøre det skal du følge nedenstående trin.

1. Åbn  Server manager.
2. Gå derefter til  Værktøjer> DNS.
3. Udvid serveren derefter  Fremadrettet opslagszone,  Højreklik på domænecontrolleren, og vælg DNSSEC> Sign zonen .
4. En gang  Zone Signing Wizard  Vises, klik på Næste.
5. Vælge Tilpas zonesigneringsparametre  og klik på næste.
6. Hvis du er på  Nøglemester  Vindue, kryds DNS-serversky-serveren er valgt som nøglemester,  og klik på næste.
7. Når du er på Key Signing Key (KSK) interface,  Klik på Tilføj.
8. Gå igennem indstillingerne, og du skal udfylde alle felter korrekt. Du skal udfylde dette i henhold til din organisations krav og derefter tilføje nøglen.
9. Når du er tilføjet, skal du klikke på Næste.
10. Når du har nået Zone Signing Key (ZSK)  Valg, klik på Tilføj, udfyld formularen og gem. Klik på Næste.
11. På Næste sikker (NSEC)  Skærm, udfyld detaljerne. NSEC (Next Secure) er en DNSSEC-post, der bruges til at bevise manglen på et domænenavn ved at give de navne, der kommer før og efter det i DNS-zonen, hvilket sikrer, at responsen er godkendt og manipulationssikre.
12. Når du er på TA -skærmen, skal du krydse Aktivér distributionen af ​​tillidsankre til denne zonekontrol  og  Aktivér automatisk opdatering af tillidsankre på nøgleområde  afkrydsningsfelter. Klik på Næste.
13. På Underskrivelses- og pollingparametre Skærm, indtast DS -detaljerne, og klik på Næste.
14. Endelig, gå gennem resume og klik på Næste.
15. Når du har fået den vellykkede besked, skal du klikke på Finish.

Efter konfiguration af zonen skal du gå til  Tillidspunkt> AE> Domænenavn  i DNS -manageren for at bekræfte.

2] Konfigurer gruppepolitikken

Efter konfiguration af zonen er vi nødt til at foretage nogle ændringer i vores domænepolitik ved hjælp af gruppepolitisk styringsværktøj. For at gøre det skal du følge nedenstående trin.

muliggør usb-port

1. Åbn  Gruppepolitisk styring  program.
2. Nu skal du gå til  Forest: Windows.AE> Domæner> Windows.AE> Højreklik på standarddomænepolitik,  og vælg Rediger.
3. Naviger til Computerkonfiguration> Politikker> Windows -indstillinger> Klik på navneopløsningspolitikken I gruppen Policy Management Editor.
4. I højre rude, under Opret regler , indtast Windows.ae i suffikset for at anvende reglen på navneområdet suffiks.
5. Kontroller begge Aktivér DNSSEC i denne regel og Kræv DNS -klienter til at validere navn og adressere data Kasser, og klik derefter på Skabe For at afslutte reglen.

Sådan kan du konfigurere DNSSEC. Vores job er dog ikke gjort. For at sikre vores server skal vi konfigurere DNS Socket Pool og DNS -cache -låsning

3] DNS Socket Pool

DNS Socket Pool forbedrer DNS -sikkerhed ved at gøre kildeporte tilfældige til udgående forespørgsler, hvilket gør det sværere for angribere at forudsige og udnytte transaktioner. Du skal åbne  PowerShell  som administrator og kør følgende kommando.

Get-DNSServer

ELLER

Get-DnsServerSetting -All | Select-Object -Property SocketPoolSize

Du skal tjekke  SocketPoolSize  At kende den aktuelle størrelse af poolen.

Vores mål er at øge størrelsen på stikket; Jo større værdi, jo bedre er beskyttelsen. For at gøre det skal du køre følgende kommando.

Bemærk: Værdien kan kun være mellem 0 - 10000.

Genstart din DNS -server, og du vil være god til at gå.

4] DNS -cache -låsning

DNS -låsning forhindrer cache -DNS -poster i at blive overskrevet under deres TTL, hvilket sikrer dataintegritet og beskyttelse mod cache -forgiftning. Vi er nødt til at køre følgende kommando for at kontrollere værdien.

Det skal være 100; Hvis det ikke er det, skal du køre kommandoen nævnt nedenfor for at indstille den til 100.

Set-DnsServerCache –LockingPercent 100

Hvis du træffer disse mål, vil din DNS -server være sikker.

Læse:  Sådan ændres DNS -server med kommandoprompt eller PowerShell

Understøtter Windows Server DNSSEC?

Ja, Windows Server understøtter DNSSEC og giver dig mulighed for at konfigurere den til at sikre DNS -zoner. Den bruger digitale signaturer til at validere DNS -svar og forhindre angreb som forfalskning. Du kan aktivere DNSSEC gennem DNS -manager- eller PowerShell -kommandoer.

Læse:  Aktivér og konfigurer DNS Aging & Scavenging i Windows Server

Hvordan konfigurerer jeg DNS til Windows Server?

For at konfigurere DNS på Windows Server skal vi først installere DNS -serverrollen. Når vi er gjort, er vi nødt til at tildele en statisk IP -adresse og konfigurere DNS -posten. Vi anbefaler, at du tjekker vores guide til, hvordan du skal Installer og konfigurer DNS på Windows Server.

krom diskbrug

Læs også: Skift DNS -indstillinger i Windows 11 let.