在Windows2000環境下實現動態DNS的安全考慮

Windows2000 域名解析是基于動態DNS(Dynamic DNS)的。微軟是基于RFC 2136實現動態DNS的。這關系到 BIND v8 和 v9。BIND v9 在由O’Reilly出版的Paul Albitz 和 Cricket Liu 撰寫的第四版《DNS and BIND》里面有所闡述。

 ? 在 Windows 2000 里，動態 DNS 是與 DHCP, WINS 和動態目錄(Active Directory) 集成并且相關的。在 Windows 2000的域中有三種方法實現 DNS：動態目錄集成、動態目錄的主要DNS和非動態目錄的輔助DNS、非動態目錄的主DNS和非動態目錄的輔助DNS。當 DNS 完全集成到動態目錄中時，我們可以在一個 Windows 2000 網絡中利用三種安全特性：安全動態更新、安全區域傳輸和對區域與資源記錄的訪問控制列表。

1.0 安全動態更新

 ? 在動態DNS(DDNS)中最重要的安全特性之一就是安全更新特性。在實現安全更新特性中需主要考慮的，是由DNS條目組成記錄的所有權。DHCP是如何配置的和支持哪個客戶端決定了所有權。

 ? 兩種DNS資源記錄關系到每一個客戶端：A記錄和PTR記錄。A記錄負責從名字解析到地址，而PTR記錄解析地址到名字。地址是指一個客戶端的IP地址。名字是指一個客戶機完整的、有資格的域名。這應該是計算機名加上網絡的域名。

 ? 在Windows 2000環境中，當客戶端通過DHCP請求一個IP時，客戶端DNS記錄就被注冊。根據設置，客戶端、DHCP服務器或者這兩者都可以更新A和PTR記錄來關聯到客戶端。這些記錄的所有權依據誰注冊了這個記錄。

 ? 這就是在Windows 2000網絡中定義 A 和 PTR 記錄所有權的選擇。

1.1 Windows 2000 本機模式(Native Mode)

 ? 在Windows 2000環境下，DHCP 服務器和 DHCP 客戶端都可以通過 DNS 注冊記錄。當網絡單純由 Windows 2000 的服務器和客戶端組成時，這種 Windows 2000 環境稱之為"本機模式"(Native Mode)。

 ? 當客戶端是一個 Windows 2000 客戶端，這個客戶端的默認配置是在注冊到網絡過程中動態更新它自己的 A 記錄。與此同時，DHCP 服務器更新客戶端的 PTR 記錄。所以，A 記錄的所有權屬于這個客戶端，PTR 記錄的所有權屬于 DHCP 服務器。

 ? 第二種可能的配置是 DHCP 服務器總是更新正向和反向的查找。在這種情況下，DHCP 服務器分別擁有A和PTR記錄。

 ? 第三種可能的配置是 DHCP 服務器被配置為不能執行動態更新。在這種情況下，客戶端將會更新 A 記錄和 PTR 記錄，因此擁有這些記錄。

1.2 Windows 2000 混雜模式(Mixed Mode)

 ? 在混雜的環境下，DHCP 客戶端不能通過 DNS 注冊。當網絡由 Windows 2000 服務器、客戶端除了 Windows 2000 之外還由 Windows NT 4.0 或 Windows 98 組成時，這種混雜環境被稱為"混雜模式"。

 ? 以前的客戶端，像 Windows NT 4.0 和 Windows 9x，不能直接通過 DNS 注冊。因為只有 DHCP 服務器可以通過 DNS 注冊記錄，再混雜環境中唯一的選擇是讓 DHCP 注冊 A 和 PTR 記錄。在這種情況下，這個服務器擁有正向和反向查找的記錄。

1.3 安全動態更新

 ? 在 Windows 2000 網絡中，安全動態更新是唯一可以用于與動態目錄集成的 DNS 區域。所以安全動態更新意味著什么？在 Windows 2000 中，它意味著是用動態目錄 ACL 制定用戶和組的權限來修改 DNS 區域和/或它的資源記錄。除了使用 ACL 外，安全更新為了允許更新 DNS 區域和/或它的資源記錄，也使用安全通道和認證。

 ? 微軟 Windows 2000 支持使用在 IETF Inte.net-Draft "GSS Algorithm for TSIG (GSS-TSIG) 中定義的運算法則進行安全動態更新。這個算法使用 Kerberos v5 作為優先的認證協議。GSS-API 在 RFC 2078 中有定義。

2.0 區域

2.1 區域的類型

 ? Windows 2000 可以配置 DNS 區域為主要區域、輔助區域或活動目錄集成。

 ? 主要和輔助區域象在 Unix 環境和 NT 4.0 環境一樣運作。另外數據庫保持與其它數據庫象 WINS 和 DHCP 數據庫分開，并且復制也是分別從其它復制服務中設置。如果網絡中任何服務器運行著一個 BIND 版本低于 8.1.2，則必須使用主要/輔助區域，因為在早先的版本中不支持動態更新。

 ? 如果安裝了活動目錄，DNS 區域可以成為活動目錄集成區域。這意味著 DNS 區域數據庫成為活動目錄數據庫的一部分。每一個記錄成為活動目錄對象。每一個活動目錄對象擁有它自己的ACL(訪問控制列表)。

2.2 區域傳輸或復制的類型

 ? Windows 2000 DNS 可以支持 AXFR 或 IXFR。AXFR，或者所有的區域傳輸，是復制整個區域數據庫文件。IXFR，或者增量區域傳輸，僅僅復制區域數據庫的變化。如果區域類型設置成主要/輔助區域，那么可以應用這些區域復制方法。在版本8.2.1以及以上的 BIND 中支持IXFR。

 ? 當 DNS 域活動目錄集成時，所有的區域和資源記錄將成為活動目錄數據庫中的對象?；顒幽夸浀膹椭剖腔诙嘀髂Ｐ?multi-master model)的。

 ? 多主模型的好處之一是沒有單點失敗的問題。這是可能的，因為包含 DNS 部分的活動目錄數據庫會被復制到所有域控制器上。因此 DNS 區域傳輸完全成為活動目錄復制的一部分。

2.3 區域傳輸的安全

 ? 如果 Windows 2000 網絡運行著主要/輔助區域配置的 DNS，是不可以使用加密和壓縮的。為了兼容 BIND，Windows 2000 支持 AXFR 每個消息發送/接受一個或多個資源記錄。BIND 在 4.9.4 以前的版本不支持每個消息傳送多條資源記錄。Windows 2000 支持 IXFR。相應的 BIND 版本是 8.2.1。Windows 2000 支持 DNS 通報(DNS Notify)，相應的 BIND 版本是8.1.2。

 ? 當 Windows 2000 DNS 配置為活動目錄集成時，復制處理成為活動目錄復制的一部分，因此將會自動使用加密和壓縮。

 ? 加密使用的是微軟 Windows 2000 Kerberos v5。與控制器之間的通訊通道會自動加密。不需要管理配置。

 ? 當活動目錄更新在"橋頭堡"(Bridgehead)服務器間傳輸時，會自動使用壓縮。橋頭堡服務器是從局域網其他服務器中自動選擇的服務器。當廣域網鏈路需要使用活動目錄更新時，每個局域網的橋頭堡服務器會與其它橋頭堡服務器通訊。這會大量減少通過 WAN 鏈路德里流量。在這種情況下，為了節約帶寬會自動使用壓縮。

3. 活動目錄集成DNS 區域

 ? 因為在 Windows 2000 活動目錄和 DDNS 集成，實現活動目錄的安全是實現 DDNS 的安全的第一步。

3.1 文件系統

 ? 使用NTFS。Windows 2000 的版本是 NTFS v5。這個版本允許設置文件和文件夾的安全性、加密文件系統和審核。NTFS v5 不兼容從前的 NTFS。在安裝了 Service Pack 4 或者更高版本的 NT 4.0上只能讀取NTFS v5。

 ? NTFS 權限可以設置文件夾和文件級別來限制網絡或者本地訪問文件。

 ? NTFS 和 共享權限可以被用來非常精確的控制權限和繼承關系。

3.2 注冊表

 ? 使用注冊表編輯器編輯 DACL 關系到每一個注冊表Hive。細節可以參考 SANS 出版的 "Windows NT Security, Step-by-Step"。

3.3 Enterprise管理員和Schema管理員組

 ? 在 Windows 2000 網絡建立之后，限制訪問這兩個管理員組。這些組出現在域的根并且含有不受限制的管理能力。根據域的結構，管理可以被委派到下面的域結構，因此管理可以被限制到單個域。

3.4 加密文件系統

 ? Windows 2000 NTFS 提供了使用加密文件系統的選擇。EFS 使用基于公共密鑰(public key)的技術來進一步限制文件的未授權訪問。

3.5 活動目錄中的DNS

 ? 安裝DNS會擴展活動目錄Schema包含DNSUpdateProxy組。這是非常強大的組，允許創建對象，這是不安全的。當這種情況發生，任何認證的用戶可以用這種方式創建屬于自己的那些對象。

 ? 在 Windows 2000 DHCP 處理過程中，DNS 會象上面詳細描述的那樣更新客戶端記錄 A 和 PTR。當客戶端和服務器都是 Windows 2000時，安全動態更新可以完全使用默認安裝。當其他的客戶端需要支持，除非 DHCP 服務器添加到 DNSUpdateProxy 組，否則不能使用安全動態更新。這就允許 DHCP 服務器為早期的客戶端執行動態更新。

 ? 如果 DHCP 服務在一個域控制器(Domain Control)上運行的話必須特別考慮。在這種情況下，添加 DHCP 服務器到 DNSUpdateProxy 組，那么所有用戶或計算機都可以完全控制相應的域控制器的 DNS 記錄。

3.6 資源記錄的所有權

 ? DHCP 服務器不能在早期的客戶端上執行安全動態更新，這在 Windows 2000 網絡中是很重要的。如果這種情況發生，會出現不能完全更新活動記錄的情況。舉例而言，一個NT 4.0的客戶端通過 DHCP 服務器在 DNS 中注冊了一個名字。這臺機器升級到 Windows 2000 客戶端。因為升級是操作系統的升級所以名字不變。從它最初注冊這個名字開始，DHCP 服務器便擁有這個名字的資源記錄所有權。Windows 2000 客戶端不能更新它自己的名字。

3.7 WINS 查找

 ? 作為 Windows 2000 的最終的告誡，我將說明 WINS 將很有可能是所有 Windows 2000 網絡中必須的部分。為什么呢？NetBios 解析仍是所有非 Windows 2000 客戶端所必需的。同樣，所有需要NetBios的程序也需要 WINS 來做名字解析。WINS 通過兩種專門的資源記錄直接集成到 DNS 中：WINS 和 WINS-R。這分別給 WINS 做正向和反向的記錄查找。

4.0 結論

總之，理解 Windows 2000 使用 DNS 的過程是非常重要的。這些考慮在這篇論文的1.0章 安全動態更新和2.0章 區域中有了一個簡述。理解一些 Windows 2000 的"gotcha's"和"caveats"也是非常重要的。3.0章 活動目錄集成DNS 區域列舉了一些這樣的條目。?

原文轉自：http://www.kjueaiud.com