Win2000動態DNS的安全應用策略(轉)

Win2000動態DNS的安全應用策略(轉)[@more@]

　　Windows2000 域名解析是基於動態DNS，動態DNS的實現是基於RFC 2136基礎上的。在Windows 2000下，動態DNS是與DHCP、WINS及活動目錄（AD）整合在一起的。在Windows 2000的域下有三種實現DNS的方法：與活動目錄整合、與活動目錄整合的主DNS及不與活動目錄整合的輔助DNS、不與活動目錄整合的主DNS及不與活動目錄整合的輔助DNS。當DNS完成整合到活動目錄中後，我們可以利用Windows2000網路中的三個重要安全特性：安全動態更新、安全區域傳輸、對區域和資源記錄的訪問控制列表。

　　

　　一、安全動態更新

　　

　　在動態DNS（DDNS）中一個最重要的安全特性就是安全更新。在實現安全更新時一個主要的考慮是DNS項組成的記錄的所有權。所有權是由DHCP的配置及對客戶端的支援來決定的。

　　

　　與客戶端相關的有兩種DNS記錄：A記錄和PTR記錄，A記錄解析名字到地址，而PTR記錄解析地址到名字。地址是指一個客戶端的IP地址，名字是指一個客戶的完全合格域名，應該是計算機名加上網路的域名。

　　

　　在Windows 2000環境中，當客戶端透過DHCP請求一個IP時，客戶端DNS記錄就被註冊。根據設定，客戶端、DHCP伺服器或者兩者都可以更新客戶的A記錄和PTR記錄，誰註冊了這個記錄，誰就對記錄擁有所有權。

　　

　　下面是在Windows2000網路中定義客戶的A記錄和PTR記錄所有權的可選項。

　　

　　1．Windows2000本機模式

　　

　　在Windows2000環境下，DHCP伺服器和DHCP客戶端都可以透過DNS註冊記錄。當網路僅由Windows2000的伺服器和客戶端組成時，這種Windows2000環境被定義為"本機模式"。

　　

　　當客戶端是一個Windows2000客戶時，預設配置是當客戶在網路上註冊時動態更新它自己的A記錄，與此同時，DHCP伺服器更新客戶的PTR記錄。因此，A記錄的所有權屬於客戶端，PTR記錄的所有權屬於DHCP伺服器。

　　

　　第二種可能的配置是DHCP伺服器更新正向和反向查詢，在這種情況下，DHCP伺服器同時擁有A記錄和PTR記錄的所有。

　　

　　第三種可能的配置是DHCP伺服器被配置為不執行動態更新，在這種情況下，客戶端將更新A記錄和PTR記錄，同時也就擁有記錄的所有權。

　　

　　2．Windows2000混雜模式

　　

　　在一個混雜模式的環境下，DHCP客戶端不能在DNS下注冊。所謂混雜模式即網路除Windows2000伺服器、客戶端外同時存在有WindowsNT4.0或Windows98客戶。

　　

　　先前的客戶端，如WindowsNT4.0和Windows9x不能直接透過DNS註冊。因為只有DHCP伺服器可以透過DNS註冊記錄，在混雜環境中唯一的選擇是讓DHCP伺服器註冊A記錄和PTR記錄，在這種情況下，伺服器擁有正向和反向查詢記錄的所有權。

　　

　　3．安全動態更新

　　

　　在Windows2000網路中，只有當活動目錄與DNS區域整合時，安全動態更新才可用。安全動態更新意味著什麼呢？在Windows2000中，它意味著用活動目錄的ACL制定使用者和組的許可權來修改DNS區域和/或它的資源記錄。為允許更新DNS區域和/或它的資源記錄，除ACL外，動態更新也使用安全通道和認證。

　　

　　Windows2000支援使用IETF草擬的"GSS Algorithm for TSIG "（GSS-TSIG）演算法進行安全動態更新。這個演算法使用 Kerberos v5 作為優先的認證協議，GSS-API在RFC2078中有定義.

　　

　　二、區域

　　

　　1．區域的型別

　　

　　Windows 2000 可以配置 DNS 區域為主要區域、輔助區域或活動目錄整合。

　　

　　主要和輔助區域的功能與在Unix和NT4.0環境下一樣。另外，DNS資料庫與其它資料庫如WINS和DHCP保持獨立，複製是從其它複製服務中獨立設定。如果網路中有伺服器執行低於

　　8.1.2的BIND版本，則必須使用主要/輔助區域，因為在早先的版本中不支援動態更新。

　　

　　如果安裝了活動目錄，DNS區域可以成為活動目錄整合區域。這意味著DNS區域資料庫成為活動目錄資料庫的一部分，每條記錄都是活動目錄的物件，每個活動目錄物件擁有它自己的ACL（訪問控制列表）。

　　

　　2．區域傳輸或複製的型別

　　

　　Windows 2000下的DNS可以支援 AXFR 或 IXFR。AXFR或所有的區域傳輸，是整個區域資料庫檔案的複製。IXFR或增量區域傳輸，僅僅複製區域資料庫的變化。如果區域型別設定為主要/輔助區域，那麼可以應用這些區域複製方法。IXFR支援在BIND 8.2.1及以上版本。

　　

　　當 DNS與活動目錄整合時，所有的區域和資源記錄將成為活動目錄資料庫中的物件。活動目錄的複製是基於多主機模型。

　　

　　多主機模型的好處之一是沒有單點失敗的問題。這是可能的，因為DNS是活動目錄資料庫的一部分，而活動目錄資料庫被複制到所有的域控制器。

　　

　　多主機模型的第二個好處是僅需要設定一個複製拓撲。DNS區域資料庫變成活動目錄資料的一部分，因此DNS區域傳輸作為活動目錄複製的一部分完成。

　　

　　3．區域傳輸的安全

　　

　　如果Windows 2000的DNS配置為主要/輔助區域，是不能使用加密和壓縮的。為了與BIND相容，Windows 2000支援AXFR，每個訊息傳送/接受一個或多個資源記錄。在BIND4.9.4以前的版本不支援多條資源記錄由一個訊息傳輸。為與BIND8.2.1版本相容Windows2000支援IXFR，為與BIND8.1.2版本相容Windows 2000 支援DNS通告。

　　

　　當Windows 2000的DNS配置為與活動目錄整合時，複製程式成為活動目錄複製的一部分，因此它自動使用加密和壓縮。

　　

　　在Windows 2000下使用Kerberos v5進行加密。控制器之間的通訊通道自動加密，不需要管理員配置。

　　

　　當活動目錄更新在"橋頭"伺服器間傳輸時，自動進行壓縮。橋頭伺服器是在本地區域網伺服器自動選擇產生的，當活動目錄使用廣域網鏈路進行更新時，每個區域網的橋頭伺服器會與其它橋頭伺服器通訊，這將大大減少透過 WAN 鏈路的流量。在這種情況下，為了節省頻寬會自動壓縮。

　　

　　三、活動目錄整合DNS 區域

　　

　　在 Windows 2000下活動目錄與DDNS整合，因此實現活動目錄安全第一步是實現 DDNS的安全。

　　

　　1．檔案系統

　　

　　使用NTFS。Windows 2000 的版本是 NTFS v5，此版本允許設定檔案和資料夾的安全、加密檔案系統和稽核。NTFS v5 不與先

　　前的NTFS相容。在安裝了Service Pack 4 或更高版本的NT4.0上只能讀取NTFS v5。

　　

　　NTFS透過設定資料夾和檔案級別訪問許可權來限制網路或本地對檔案的訪問。

　　

　　NTFS和共享許可權可以被用來非常精確的控制許可權和繼承關係。

　　

　　2．登錄檔

　　

　　使用登錄檔編輯器編輯DACL關係到每一個登錄檔的配置單元。細節問題可以參考SANS出版的"Windows NT Security, Step-by-Step"。

　　

　　3．Enterprise管理員和Schema管理員組

　　

　　在Windows2000網路建立之後，限制訪問這兩個管理員組。這些組出現在根域下並且有最高的許可權。根據域的結構，管理可以被委派到域結構，因此管理可以被限制到單個域。

　　

　　4．加密檔案系統

　　

　　Windows2000的NTFS提供了使用加密檔案系統的選擇。EFS使用基於公共金鑰的技術來進一步限制檔案的未授權訪問。

　　

　　5．活動目錄中的DNS

　　

　　DNS的安裝將擴充套件活動目錄的架構，包含了DNSUpdateProxy組。這是一個非常強大的組，它允許建立物件，這是不安全的，當這種情況發生時，任何授權使用者可以獲得這些物件的所有權。

　　

　　DNS中客戶端的A記錄和PTR記錄會在DHCP處理程式中進行更新，這在上面有詳細地敘述。當客戶和伺服器都是Windows2000時，安全動態更新可以透過預設安裝來完成，當有其它的使用者需要支援時，安全動態更新不能完成，除非DHCP伺服器被加入到了DNSUpdateProxy組，加入DNSUpdateProxy組後，允許DHCP伺服器為早期的客戶端執行動態更新。

　　

　　如果DHCP服務執行在一個域控制器時，需要特別考慮的是，新增DHCP伺服器到DNSUpdateProxy組，將允許所有使用者或計算機完全控制相應域控制器的DNS記錄。

　　

　　6．資源記錄的所有權

　　

　　DHCP伺服器不能在早期的客戶端上執行安全動態更新，這在Windows2000網路中是非常重要的。如果這種情況發生，會出現不能完全更新活動記錄的情況。例如，一個NT4.0的客戶端透過DHCP伺服器在DNS中註冊了一個名字，當這臺機器被升級到Windows2000時，這個名字保持不變。DHCP伺服器因其最先註冊了這個名字而擁有這個名字的資源記錄所有權，所以Windows 2000客戶不能更新它自己的名字。

　　

　　7．WINS查詢

　　

　　作為Windows2000最終的告誡，我將翻譯說明為什麼WINS將是Windows 2000網路中最可能需要的部分。為什麼呢？對所有非Windows2000客戶，NetBios解析仍是必需的。同樣，所有需要NetBios的程式也將需要WINS來做名字解析。WINS透過兩個特定的資源記錄直接整合到了DNS中：WINS和WINS-R。這分別為WINS做正向和反向記錄查詢。

　　

　　四、結論

　　

　　總之，理解Windows2000使用DNS的過程是非常重要的。在文章的1.0部分"安全動態更新"和2.0部分"區域"中有了一個簡述。理解Windows2000的"gotcha's"和"caveats"也是非常重要的。3.0部分活動目錄整合DNS區域列舉了相關的專案。