Win2000动态DNS的安全应用策略.doc

Win2000动态DNS的安全应用策略r2 H. N; y5 F) y7 Windows2000 域名解析是基于动态DNS，动态DNS的实现是基于RFC 2136基础上的。在Windows 2000下，动态DNS是与DHCP、WINS及活动目录（AD）集成在一起的。在Windows 2000的域下有三种实现DNS的方法：与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS。当DNS完成集成到活动目录中后，我们可以利用Windows2000网络中的三个重要安全特性：安全动态更新、安全区域传输、对区域和资源记录的访问控制列表。* N! R* ! k8 * U7 N6 ! A7 p. H一、安全动态更新- Z) C% m- C4 z. x* _( T- a& X& C |( f, Z* 3 d: |) Pw; G在动态DNS（DDNS）中一个最重要的安全特性就是安全更新。在实现安全更新时一个主要的考虑是DNS项组成的记录的所有权。所有权是由DHCP的配置及对客户端的支持来决定的。* V$ l. a9 G* D; T 9 x+ P# * p* C, r; e) _) _ V2 * 与客户端相关的有两种DNS记录：A记录和PTR记录，A记录解析名字到地址，而PTR记录解析地址到名字。地址是指一个客户端的IP地址，名字是指一个客户的完全合格域名，应该是计算机名加上网络的域名。U+ W& N4 E* jC: Y n# G$ N4 $ F9 : a w0 u5 m0 I: r* f0 ?在Windows 2000环境中，当客户端通过DHCP请求一个IP时，客户端DNS记录就被注册。根据设置，客户端、DHCP服务器或者两者都可以更新客户的A记录和PTR记录，谁注册了这个记录，谁就对记录拥有所有权。: d# Y4 F6 O* z I+ R7 d% E% W( t% c e# E5 k. r: f8 W7 f6 D下面是在Windows2000网络中定义客户的A记录和PTR记录所有权的可选项。W# i( _QJ! U! b! 6 Q1 i1 + % C1Windows2000本机模式8 2 H# 6 # g4 c+ w1 h( E( i+ |; l6 b2 r) 8 l在Windows2000环境下，DHCP服务器和DHCP客户端都可以通过DNS注册记录。当网络仅由Windows2000的服务器和客户端组成时，这种Windows2000环境被定义为本机模式。 e; q. F- z& V: W1 p1 E5 R( O3 w9 I4 Q* B当客户端是一个Windows2000客户时，默认配置是当客户在网络上注册时动态更新它自己的A记录，与此同时，DHCP服务器更新客户的PTR记录。因此，A记录的所有权属于客户端，PTR记录的所有权属于DHCP服务器。# i3 / F Z( u) K& m2 Z5 _; s$ W! N0 T* h3 V C3 V0 v第二种可能的配置是DHCP服务器更新正向和反向查找，在这种情况下，DHCP服务器同时拥有A记录和PTR记录的所有。 r2 _6 x: M1 B9 2 g. x- * b+ d第三种可能的配置是DHCP服务器被配置为不执行动态更新，在这种情况下，客户端将更新A记录和PTR记录，同时也就拥有记录的所有权。9 e) H* N: z) u7 N9 U; ?2 M+ + A7 l2 7 T# N( x3 f( E2Windows2000混杂模式2 L7 G0 Z, V! d c$ G K; q1 v* k$ h7 _( # z! u8 v2 Y在一个混杂模式的环境下，DHCP客户端不能在DNS下注册。所谓混杂模式即网络除Windows2000服务器、客户端外同时存在有WindowsNT4.0或Windows98客户。( s) x- P0 Z3 g9 W. Vw0 f( V* u+ Q: I: U; b6 F y, M& P先前的客户端，如WindowsNT4.0和Windows9x不能直接通过DNS注册。因为只有DHCP服务器可以通过DNS注册记录，在混杂环境中唯一的选择是让DHCP服务器注册A记录和PTR记录，在这种情况下，服务器拥有正向和反向查找记录的所有权。, q9 h) i g7 ; l, p$ y0 Z, e i. c4 l N3 V$ d3安全动态更新: 9 k! q. W, 9 U3 c7 m5 ?1 m U在Windows2000网络中，只有当活动目录与DNS区域集成时，安全动态更新才可用。安全动态更新意味着什么呢？在Windows2000中，它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录。为允许更新DNS区域和/或它的资源记录，除ACL外，动态更新也使用安全通道和认证。& s* G- q0 J+ R& n8 L, 9 z7 q9 r- j; # tWindows2000支持使用IETF草拟的GSS Algorithm for TSIG （GSS-TSIG）算法进行安全动态更新。这个算法使用 Kerberos v5 作为优先的认证协议，GSS-API在RFC2078中有定义.! s: b9 p- P( r : . ; M7 J0 O% D$ w5 j7 x+ H二、区域; f5 V& T& d$ y M0 z( |. 0 L# q% U4 * p1 / C1区域的类型7 e3 xs8 L. o! E0 l+ v! d9 I3 u: j; d/ d5 Vf. Z, t: j3 fWindows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。3 F0 2 K( J, Q( H# u7 D5 1 d3 g6 1 E |: s- h9 _8 F6 z 主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外，DNS数据库与其它数据库如WINS和DHCP保持独立，复制是从其它复制服务中独立设置。如果网络中有服务器运行低于7 w+ m, U. d W8 B8.1.2的BIND版本，则必须使用主要/辅助区域，因为在早先的版本中不支持动态更新。* z( ?+ i* p) C: y( H! c- V9 : o: M # ! S如果安装了活动目录，DNS区域可以成为活动目录集成区域。这意味着DNS区域数据库成为活动目录数据库的一部分，每条记录都是活动目录的对象，每个活动目录对象拥有它自己的ACL（访问控制列表）。8 ! W( W6 B7 q2 Z) * c/ N9 T* A I+ a2区域传输或复制的类型* 7 h5 g0 II3 e: L8 j! a/ A+ O6 c0 a9 k. Q6 SWindows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的区域传输，是整个区域数据库文件的复制。IXFR或增量区域传输，仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域，那么可以应用这些区域复制方法。IXFR支持在BIND 8.2.1及以上版本。+ q/ B) X0 e X8 H% u/ G( m/ E, B, F当 DNS与活动目录集成时，所有的区域和资源记录将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。6 G0 mm6 e; P% s- ea! K( OF8 o/ T/ d2 F多主机模型的好处之一是没有单点失败的问题。这是可能的，因为DNS是活动目录数据库的一部分，而活动目录数据库被复制到所有的域控制器。, a% 0 z. r- I- l/ c/ Z, + O/ R5 n_# I 2 n& p1 z多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分，因此DNS区域传输作为活动目录复制的一部分完成。0 M& G# |4 s$ b/ c# o$ v& s$ S) F! n5 w3区域传输的安全# g6 ! n) H0 v7 r! v3 o0 Z, j2 r W- 5 T0 i1 r: q如果Windows 2000的DNS配置为主要/辅助区域，是不能使用加密和压缩的。为了与BIND兼容，Windows 2000支持AXFR，每个消息发送/接受一个或多个资源记录。在BIND4.9.4以前的版本不支持多条资源记录由一个消息传输。为与BIND8.2.1版本兼容Windows2000支持IXFR，为与BIND8.1.2版本兼容Windows 2000 支持DNS通告。) y& uz. ?; 6 J( W+ 6 5 1 M4 h: H- B) A( + v; y当Windows 2000的DNS配置为与活动目录集成时，复制进程成为活动目录复制的一部分，因此它自动使用加密和压缩。9 M5 |9 i% q+ _3 O# l2 K9 # u* 9 u h在Windows 2000下使用Kerberos v5进行加密。控制器之间的通信通道自动加密，不需要管理员配置。: p3 _* oY0 - F* d2 ?3 Y! k5 4 G) h% Z- P0 + s当活动目录更新在桥头服务器间传输时，自动进行压缩。桥头服务器是在本地局域网服务器自动选择产生的，当活动目录使用广域网链路进行更新时，每个局域网的桥头服务器会与其它桥头服务器通信，这将大大减少通过 WAN 链路的流量。在这种情况下，为了节省带宽会自动压缩。; HJR D3 P5 L b) D8 Q$ V; / D+ i9 2 7 ( b8 A9 s三、活动目录集成DNS 区域+ G: i. A8 z8 a! w5 k0 i- 4 i# T0 b在 Windows 2000下活动目录与DDNS集成，因此实现活动目录安全第一步是实现 DDNS的安全。$ S. M( H3 c3 G/ 6 l9 U! n1 Z6 I0 P$ Q% G _1文件系统2 - F* NV/ l8 x/ c: J2 ! I9 n% g使用NTFS。Windows 2000 的版本是 NTFS v5，此版本允许设置文件和文件夹的安全、加密文件系统和审核。NTFS v5 不与先5 6 g4 v8 g, w( L4 _前的NTFS兼容。在安装了Service Pack 4 或更高版本的NT4.0上只能读取NTFS v5。2 PBk1 N5 X v6 M7 l% E2 T0 5 S8 E DNTFS通过设置文件夹和文件级别访问权限来限制网络或本地对文件的访问。4 C, v# x3 7 n5 B: n0 : c J# + V8 PNTFS和共享权限可以被用来非常精确的控制权限和继承关系。$ HC8 ?; R( a6 Z; 0 X* # z* B! i: I9 W( F9 2 q2注册表6 1 : L& E) U% c7 1 * K9 r9 n( K- : 3 使用注册表编辑器编辑DACL关系到每一个注册表的配置单元。细节问题可以参考SANS出版的Windows NT Security, Step-by-Step。5 C- A/ I/ T3 C N5 I% , X1 e/ Z: T7 i; T x_b, 3Enterprise管理员和Schema管理员组! j# g4 F; M8 v: x# z* M# b, y. U: P5 在Windows2000网络建立之后，限制访问这两个管理员组。这些组出现在根域下并且有最高的权限。根据域的结构，管理可以被委派到域结构，因此管理可以被限制到单个域。+ w; a! S/ $ c6 L( W$ 8 L5 c l! B y; t# m$ i4加密文件系统# c& h8 T! Y9 X- & 4 bB- z% u : A7 C1 i0 DWindows2000的NTFS提供了使用加密文件系统的选择。EFS使用基于公共密钥的技术来进一步限制文件的未授权访问。/ ?8 x& b8 Gd* d& t# # j5 Q# L8 O4 l% ! & D5活动目录中的DNS( N1 K% & X* C8 |; h3 ! n4 C/ l3 U ) o0 K+ i1 p# BDNS的安装将扩展活动目录的架构，包含了DNSUpdateProxy组。这是一个非常强大的组，它允许创建对象，这是不安全的，当这种情况发生时，任何授权用户可以获得这些对象的所有权。3 S5 Z4 k1 |% O2 w; ; O/ O2 a6 m) D) j9 e& 6 l) I5 pDNS中客户端的A记录和PTR记录会在DHCP处理进程中进行更新，这在上面有详细地叙述。当客户和服务器都是Windows2000时，安全动态更新可以通过默认安装来完成，当有其它的用户需要支持时，安全动态更新不能完成，除非DHCP服务器被加入到了DNSUpdateProxy组，加入DNSUpdateProxy组后，允许DHCP服务器为早期的客户端执行动态更新。 q* W( ; ?5 I3 D8 N) Z& k4 2 N+ I6 J- V- C5 t: F9 S y如果DHCP服务运行在一个域控制器时，需要特别考虑的是，添加DHCP服务器到DNSUpdateProxy组，将允许所有用户或计算机完全控制相应域控制器的DNS记录。/ a: s- e; 7 U$ 0 7 E6 e X1 A6资源记录的所有权. ax+ V3 ) # x8 T3 r( h+ j8 f* 4 V6 i/ lDHCP服务器不能在早期的客户端上执行安全动态更新，这在Windows2000网络中是非常重要的。如果这种情况发生，会出现不能完全更新活动记录的情况。例如，一个NT4.0的客户端通过