Безопасность DHCP и DC

Безопасность DHCP и контроллера домена

По возможности на контроллере домена Active Directory службу DHCP лучше не запус­кать, поскольку тогда генерируемые записи SVR утрачивают свою защищенность. Причины, по которым это происходит, описаны ниже.

Записи DNS в AD-интегрированной зоне DNS являются "защищенными", а это значит, что обновлять их может только тот клиент, который их изначально создавал. Однако это оказывается источником проблем при автоматическом обновлении записей клиента самим DHCP-сервером, поскольку тогда клиент больше не выполняет эту функцию и, следователь­но, не может применять к записи настройки безопасности.

В реализации DHCP, которая поставляется с Windows Server 2008 R2, это ограничение позволяет обходить специальная предлагаемая в Active Directory группа под названием DNSUpdateProxy. Члены этой группы не применяют никаких настроек защиты к объектам, которые сами создают в базе данных DNS. Теоретически клиент, который первым "затро­нет" запись, становится ответственным за ее защиту.

Недостаток этой концепции состоит в том, что записи, создаваемые DHCP-серверами, изначально не получают никаких настроек защиты и, следовательно, могут оказываться в распоряжении злоумышленников. Поскольку контроллеры доменов отвечают за публика­цию DNS-записей SVR, которые раскрывают месторасположение контроллеров доменов, серверов Kerberos и тому подобные сведения, это оставляет в системе безопасности во­пиющую брешь, которую злоумышленники могут использовать в своих целях. По этой при­чине на контроллерах доменов службу DHCP лучше не размещать.

В ситуациях, когда это невозможно, рекомендуется хотя бы не помещать DHCP-сервер в группу DNSUpdateProxy, чтобы избегать связанных с этим проблем, или удостоверяться в наличии у каждой области на DHCP-сервере настроенной учетной записи пользователя для применения обновлений Dynamic DNS. Чтобы добавить выбранную учетную запись пользователя для регистрации Dynamic DNS для DHCP-сервера, откройте консоль DHCP Server (DHCP-сервер). В раз­деле нужного DHCP-сервера щелкните правой кнопкой мыши на узле IPv4 и выберите в контекстном меню пункт Properties (Свойства). В открывшемся диалоговом окне перей­дите на вкладку Advanced (Дополнительно) и щелкните на кнопке Credentials (Учетные данные). Введите имя, домен и пароль учетной записи, которая должна использоваться для проведения обновления и владеть записями Dynamic DNS, касающихся аренд DHCP. Удостоверьтесь в том, что эта запись является учетной записью рядового пользователя, а не администратора домена. С ее помощью разрешено управлять только теми записями, ко­торые создавались от ее имени, но не разрешено ни обновлять, ни заменять существующие записи, созданные клиентами Windows или администраторами DNS.

2016  Командная строка Windows  
top Яндекс.Метрика