ส่วนขยายความปลอดภัยของระบบชื่อโดเมน หรือ DNSSEC เป็นชุดของส่วนขยายเพื่อรักษาความปลอดภัยโปรโตคอล DNS เป็นหนึ่งในวิธีการป้องกันเซิร์ฟเวอร์ DNS พร้อมกับ การล็อคแคช DNS และ DNS ซ็อกเก็ตพูล - มันใช้ลายเซ็นการเข้ารหัสเพื่อตรวจสอบการตอบสนอง DNS เพื่อปกป้องระบบของคุณ ในโพสต์นี้เราจะดูว่าคุณทำได้อย่างไร กำหนดค่า DNSSEC บน Windows Server
กำหนดค่า DNSSEC บน Windows Server
DNSSEC เพิ่มความปลอดภัยของ DNS โดยใช้ลายเซ็นการเข้ารหัสเพื่อตรวจสอบการตอบสนอง DNS ทำให้มั่นใจได้ว่าความถูกต้องและความสมบูรณ์ของพวกเขา มันป้องกันการคุกคามทั่วไปเช่นการปลอมแปลง DNS และการดัดแปลงแคชทำให้โครงสร้างพื้นฐาน DNS เชื่อถือได้มากขึ้น ด้วยการลงนามโซน DNS DNSSEC จะเพิ่มเลเยอร์ของการตรวจสอบโดยไม่ต้องเปลี่ยนกลไกการตอบสนองแบบสอบถามพื้นฐาน สิ่งนี้ทำให้มั่นใจได้ว่าข้อมูล DNS ยังคงปลอดภัยในระหว่างการส่งโดยให้สภาพแวดล้อมที่น่าเชื่อถือสำหรับผู้ใช้และองค์กร เนื่องจากเป้าหมายหลักของเราคือการรักษาความปลอดภัยเซิร์ฟเวอร์ DNS ของคุณเราจะกำหนดค่าไม่เพียง แต่ DNSSEC แต่ยังรวมถึงการล็อคแคช DNS และ DNS
ในการกำหนดค่า DNSSEC, DNS Socket Pool และการล็อคแคช DNS คุณสามารถทำตามขั้นตอนที่กล่าวถึงด้านล่าง
คุณสามารถดาวน์โหลดวิดีโอ youtube ของคุณเอง
- กำหนดค่า DNSSEC
- กำหนดค่านโยบายกลุ่ม
- DNS ซ็อกเก็ตพูล
- การล็อคแคช DNS
ให้เราพูดถึงพวกเขาอย่างละเอียด
1] กำหนดค่า DNSSEC
ก่อนอื่นให้เราเริ่มต้นด้วยการตั้งค่า DNSSEC ในตัวควบคุมโดเมนของเรา ในการทำเช่นนั้นคุณต้องทำตามขั้นตอนที่กล่าวถึงด้านล่าง
- เปิด ตัวจัดการเซิร์ฟเวอร์
- จากนั้นไปที่ เครื่องมือ> DNS
- ขยายเซิร์ฟเวอร์จากนั้น ไปข้างหน้าโซนค้นหา คลิกขวาที่คอนโทรลเลอร์โดเมนแล้วเลือก DNSSEC> ลงชื่อเข้าใช้โซน -
- ครั้งหนึ่ง ตัวช่วยสร้างการลงนามโซน ปรากฏขึ้นคลิกที่ถัดไป
- เลือก ปรับแต่งพารามิเตอร์การลงนามโซน และคลิกที่ถัดไป
- หากคุณอยู่ใน คีย์มาสเตอร์ หน้าต่างเห็บ เซิร์ฟเวอร์เซิร์ฟเวอร์ DNS ถูกเลือกเป็นหลักคีย์ และคลิกที่ถัดไป
- เมื่อคุณอยู่ใน อินเทอร์เฟซคีย์การลงนาม (KSK) คลิกที่เพิ่ม
- ผ่านตัวเลือกและคุณต้องกรอกข้อมูลทั้งหมดอย่างถูกต้อง คุณต้องกรอกข้อมูลตามข้อกำหนดขององค์กรของคุณแล้วเพิ่มคีย์
- เมื่อเพิ่มแล้วคลิกที่ถัดไป
- หลังจากที่คุณไปถึง คีย์การลงนามโซน (ZSK) ตัวเลือกคลิกที่เพิ่มกรอกแบบฟอร์มและบันทึก คลิกที่ถัดไป
- บน Next Secure (NSEC) หน้าจอกรอกรายละเอียด NSEC (Next Secure) เป็นบันทึก DNSSEC ที่ใช้เพื่อพิสูจน์การไม่มีอยู่ของชื่อโดเมนโดยให้ชื่อที่มาก่อนและหลังในโซน DNS เพื่อให้แน่ใจว่าการตอบสนองได้รับการรับรองความถูกต้องและป้องกันการดัดแปลง
- เมื่อคุณอยู่บนหน้าจอ TA ติ๊ก เปิดใช้งานการแจกจ่ายจุดยึดทรัสต์สำหรับการตรวจสอบโซนนี้ และ เปิดใช้งานการอัปเดตอัตโนมัติของ Anchors Trust บน Key Rollover ช่องทำเครื่องหมาย คลิกที่ถัดไป
- บน พารามิเตอร์การลงนามและการสำรวจ หน้าจอป้อนรายละเอียด DS และคลิกที่ถัดไป
- ในที่สุดผ่านบทสรุปและคลิกต่อไป
- เมื่อคุณได้รับข้อความที่ประสบความสำเร็จให้คลิกเสร็จสิ้น
หลังจากกำหนดค่าโซนคุณต้องไปที่ ความน่าเชื่อถือจุด> ae> ชื่อโดเมน ใน DNS Manager เพื่อยืนยัน
2] กำหนดค่านโยบายกลุ่ม
หลังจากกำหนดค่าโซนเราต้องทำการเปลี่ยนแปลงนโยบายโดเมนของเราโดยใช้ยูทิลิตี้การจัดการนโยบายกลุ่ม ในการทำเช่นนั้นให้ทำตามขั้นตอนที่กล่าวถึงด้านล่าง
- เปิด การจัดการนโยบายกลุ่ม โปรแกรม
- ตอนนี้คุณต้องไปที่ Forest: windows.ae> domains> windows.ae> คลิกขวาที่นโยบายโดเมนเริ่มต้น และเลือกแก้ไข
- นำทางไปยัง การกำหนดค่าคอมพิวเตอร์> นโยบาย> การตั้งค่า Windows> คลิกที่นโยบายการแก้ไขชื่อ ในบรรณาธิการการจัดการนโยบายกลุ่ม
- ในบานหน้าต่างด้านขวาภายใต้ สร้างกฎ , เข้า windows.ae ในกล่องต่อท้ายเพื่อใช้กฎกับคำต่อท้ายเนมสเปซ
- ตรวจสอบทั้งสอง เปิดใช้งาน DNSSEC ในกฎนี้ และ ต้องการลูกค้า DNS เพื่อตรวจสอบข้อมูลชื่อและที่อยู่ กล่องจากนั้นคลิก สร้าง เพื่อสรุปกฎ
นั่นคือวิธีที่คุณสามารถกำหนดค่า DNSSEC อย่างไรก็ตามงานของเรายังไม่เสร็จ เพื่อรักษาความปลอดภัยเซิร์ฟเวอร์ของเราเราควรกำหนดค่าพูลซ็อกเก็ต DNS และการล็อคแคช DNS
3] พูลซ็อกเก็ต DNS
DNS ซ็อกเก็ตพูลช่วยเพิ่มความปลอดภัย DNS โดยทำให้พอร์ตต้นทางสุ่มสำหรับการสืบค้นขาออกทำให้ผู้โจมตีคาดการณ์และใช้ประโยชน์จากการทำธุรกรรมได้ยากขึ้น คุณต้องเปิด PowerShell ในฐานะผู้ดูแลระบบและเรียกใช้คำสั่งต่อไปนี้
Get-DNSServer
หรือ
ถอนการติดตั้งแอพพยากรณ์อากาศ
Get-DnsServerSetting -All | Select-Object -Property SocketPoolSizeคุณต้องตรวจสอบ socketpoolsize หากต้องการทราบขนาดปัจจุบันของสระว่ายน้ำ
เป้าหมายของเราคือการเพิ่มขนาดของซ็อกเก็ต ยิ่งค่ามากเท่าไหร่การป้องกันก็จะยิ่งดีขึ้นเท่านั้น ในการทำเช่นนั้นคุณต้องเรียกใช้คำสั่งต่อไปนี้
41E972EDEE3C9BEBA8F491AFAAAAAACA7C6D2BAB6Fหมายเหตุ: ค่าสามารถอยู่ระหว่าง 0 - 10,000 เท่านั้น
แอพ youtube ที่ดีที่สุดสำหรับ windows 10
รีสตาร์ทเซิร์ฟเวอร์ DNS ของคุณและคุณจะไปได้ดี
4] การล็อคแคช DNS
การล็อค DNS ป้องกันไม่ให้บันทึก DNS ที่ถูกเขียนทับในระหว่าง TTL ของพวกเขาทำให้มั่นใจได้ว่าข้อมูลความสมบูรณ์ของข้อมูลและการป้องกันการเป็นพิษแคช เราจำเป็นต้องเรียกใช้คำสั่งต่อไปนี้เพื่อตรวจสอบค่า
F2D88657FC2627B191224D13587132C6768A844มันควรจะเป็น 100; หากไม่ใช่ให้เรียกใช้คำสั่งที่กล่าวถึงด้านล่างเพื่อตั้งค่าเป็น 100
Set-DnsServerCache –LockingPercent 100
หากคุณใช้มาตรการเหล่านี้เซิร์ฟเวอร์ DNS ของคุณจะปลอดภัย
อ่าน: วิธีเปลี่ยนเซิร์ฟเวอร์ DNS ด้วยพรอมต์คำสั่งหรือ PowerShell
มุมมองความเข้ากันได้ของขอบ
Windows Server รองรับ DNSSEC หรือไม่
ใช่ Windows Server รองรับ DNSSEC และอนุญาตให้คุณกำหนดค่าให้ปลอดภัยโซน DNS มันใช้ลายเซ็นดิจิตอลเพื่อตรวจสอบการตอบสนอง DNS และป้องกันการโจมตีเช่นการปลอมแปลง คุณสามารถเปิดใช้งาน DNSSEC ผ่านคำสั่ง DNS Manager หรือ PowerShell
อ่าน: เปิดใช้งานและกำหนดค่า DNS Aging & Scavenging ใน Windows Server
ฉันจะกำหนดค่า DNS สำหรับ Windows Server ได้อย่างไร
ในการกำหนดค่า DNS บน Windows Server เราจำเป็นต้องติดตั้งบทบาทเซิร์ฟเวอร์ DNS ก่อน เมื่อเสร็จแล้วเราต้องกำหนดที่อยู่ IP แบบคงที่และกำหนดค่ารายการ DNS เราขอแนะนำให้คุณตรวจสอบคู่มือของเราเกี่ยวกับวิธีการ ติดตั้งและกำหนดค่า DNS บน Windows Server
อ่านด้วย: เปลี่ยนการตั้งค่า DNS ใน Windows 11 ได้อย่างง่ายดาย
