Jakie są praktyczne zagrożenia związane z włączaniem niezabezpieczonych aktualizacji DNS w systemie Windows?

Jakie są praktyczne zagrożenia związane z włączaniem niezabezpieczonych aktualizacji DNS w systemie Windows?

O ile znalazłem, włączanie niezabezpieczonych aktualizacji DNS jest warunkiem umożliwiającym klientom DHCP Linux rejestrowanie ich nazw w FQDN.

Chcę wiedzieć, jakie są praktyczne ryzyka związane z tym, aby ocenić, czy można je włączyć, czy nie.

O ile wiem, maszyna nie byłaby w stanie przejąć innej zastrzeżonej nazwy, która byłaby jedyną prawdziwą troską, którą teraz.

Oczywiście byłby to DDOS, ale biorąc pod uwagę, że mówimy tutaj o intranecie, wątpię, aby było to realne ryzyko.

Czy masz to włączone w swojej domenie, czy nie? Czy kiedykolwiek musiałeś go wyłączyć z powodu problemów?

Zasadniczo nigdy nie należy nigdy zezwalać na niezabezpieczone aktualizacje. Osobiście nawet mi się nie podoba, że ​​serwer DNS pozwala nawet wyłączyć bezpieczne aktualizacje. Dzięki temu każdy w Twojej sieci (np. Haker) może zarejestrować rekordy DNS bez konieczności uwierzytelniania w usłudze Active Directory. Umożliwiłoby to atakującemu „sfałszowanie” nazwy DNS w Twojej sieci i przekierowanie ludzi na inny serwer niż ten, o którym myślali, że zamierzają.

Kolejny przykład sytuacji, w której to ustawienie może zepsuć dzień przypadkowo, a nie złośliwie ... ktoś wyłączył bezpieczne aktualizacje ... wszystkie HP ILO (zarządzanie poza pasmem) na wszystkich komputerach w sieci mogły nagle rozpocząć dynamiczną rejestrację własne rekordy DNS ... ale ILO zostały nazwane tak samo jak serwery, więc zastąpiły rekordy DNS serwerów hosta!

Wyłączanie bezpiecznych aktualizacji to straszny pomysł. Po prostu nie.

Możliwe rozwiązanie polegające na skłonieniu klientów Linux do korzystania z DHCP w celu bezpiecznego rejestrowania rekordów DNS może pomóc: Zarejestrować rekordy A dla mojego Linux-a na moim serwerze DNS / DHCP systemu Windows 2008