Каковы практические риски включения небезопасных обновлений DNS в Windows?
Каковы практические риски включения небезопасных обновлений DNS в Windows?
Насколько я понял, включение небезопасных обновлений DNS является обязательным требованием для того, чтобы клиенты DHCP Linux могли регистрировать свои имена с помощью FQDN.
Я действительно хочу знать, каковы практические риски, связанные с этим, чтобы оценить, можно ли включить их или нет.
Насколько я знаю, машина не сможет принять другое зарезервированное имя, что было бы единственной реальной проблемой, которую я сейчас испытываю.
Очевидно, это будет DDOS, но, учитывая, что мы говорим здесь об интранете, я сомневаюсь, что это может быть реальным риском.
Включена ли она в вашем домене? Вам когда-нибудь приходилось отключать его из-за каких-то проблем с ним?
Вы никогда не должны разрешать незащищенные обновления. Лично мне даже не нравится, что DNS-сервер позволяет даже отключать безопасные обновления. Это позволяет любому пользователю вашей сети (например, хакеру) регистрировать записи DNS без необходимости аутентификации Active Directory. Это позволит злоумышленнику «подделать» DNS-имя в вашей сети и перенаправить людей на другой сервер, а не на тот, который, по их мнению, они собирались использовать.
Другой пример, когда этот параметр может испортить вам день случайно, а не злонамеренно ... кто-то отключил безопасные обновления ... все HP ILO (внешнее управление) на всех машинах в сети внезапно смогли начать динамическую регистрацию их собственные записи DNS ... но МОТ были названы так же, как и серверы, поэтому они перезаписали записи DNS хост-серверов!
Отключение безопасных обновлений - ужасная идея. Только не надо.
В качестве возможного решения для того, чтобы заставить ваши клиенты Linux использовать DHCP для безопасной регистрации DNS-записей, это может помочь: Зарегистрируйте записи A для моего Linux-сервера на моем DNS / DHCP-сервере Windows 2008