Poiché DNS è spesso soggetto ad attacchi di tipo man-in-the-middle, spoofing e poisoning della cache difficili da neutralizzare, in Windows Server® 2008 R2 è stato introdotto il supporto di Domain Name System Security Extensions (DNSSEC) per il server e il client DNS. In breve, DNSSEC consente la firma crittografica di una zona DNS e di tutti i record inclusi nella zona. Quando un server DNS che ospita una zona firmata riceve una query, restituisce le firme digitali insieme ai record per cui è stata eseguita la query. Un resolver o un altro server possono ottenere la chiave pubblica della coppia di chiavi pubblica/privata e verificare che le risposte siano autentiche e non siano state alterate. A tale scopo, il resolver o il server deve essere configurato con un trust anchor per la zona firmata o per un elemento padre della zona firmata.
Le estensioni DNSSEC di base sono specificate in RFC 4033, 4034 e 4035 e aggiungono autorità delle origini, integrità dei dati e negazione autenticata dell'esistenza di dati DNS. Oltre a numerosi nuovi concetti e operazioni per il server DNS e il client DNS, DNSSEC implementa per la prima volta quattro nuovi record di risorse (DNSKEY, RRSIG, NSEC e DS) in DNS.
Di seguito sono elencate le modifiche disponibili nel server DNS in Windows Server 2008 R2:
- Capacità di firmare una zona e ospitare zone firmate.
- Supporto per modifiche al protocollo DNSSEC.
- Supporto per i record di risorse DNSKEY, RRSIG, NSEC e DS.
Di seguito sono elencate le modifiche disponibili nel client DNS in Windows Server 2008 R2:
-
Capacità di specificare il riconoscimento di DNSSEC nelle query.
-
Capacità di elaborare i record di risorse DNSKEY, RRSIG, NSEC e DS.
- Capacità di verificare se il server DNS con cui comunica abbia eseguito la convalida per conto del client.
Il comportamento del client DNS rispetto a DNSSEC viene controllato tramite la tabella dei criteri di risoluzione dei nomi, in cui sono archiviate le impostazioni che definiscono tale comportamento. Tale tabella viene in genere gestita tramite Criteri di gruppo.
Ulteriori riferimenti
Pagina relativa alle novità di DNS (https://go.microsoft.com/fwlink/?LinkId=139322)