Eftersom DNS ofta är utsatt för MITM-attacker (man-in-the-middle), förfalskning och cacheförgiftning som är svåra att försvara sig mot, introducerar DNS-servern och -klienten i Windows Server® 2008 R2 stöd för DNSSEC (Domain Name System Security Extensions). I korthet innebär det att en DNS-zon och alla poster i zonen kan signeras kryptografiskt. När en DNS-server som är värd för en signerad zon får en fråga, skickas de digitala signaturerna tillbaka tillsammans med de poster som efterfrågades. En matchare eller en annan server kan få den offentliga nyckeln för det offentliga/privata nyckelparet och verifiera att svaren är autentiska och inte har manipulerats. Då måste matcharen eller servern konfigureras med ett förtroendeankare för den signerade zonen, eller för en överordnad till den signerade zonen.

De viktigaste DNSSEC-tilläggen anges i RFC 4033, 4034 och 4035 och lägger till ursprunglig utfärdare, dataintegritet och autentiserat nekad existens i DNS. Förutom att det finns flera nya koncept och åtgärder för både DNS-servern och -klienten, introduceras fyra nya resursposter (DNSKEY, RRSIG, NSEC och DS) i DNS.

Följande ändringar är tillgängliga i DNS-servern i Windows Server 2008 R2:

  • Möjlighet att signera en zon och vara värd för signerade zoner.

  • Stöd för ändringar i DNSSEC-protokollet.

  • Stöd för resursposterna DNSKEY, RRSIG, NSEC och DS.

Följande ändringar är tillgängliga i DNS-klienten i Windows Server 2008 R2:

  • Möjlighet att ange kunskap om DNSSEC i frågor.

  • Möjlighet att bearbeta resursposterna DNSKEY, RRSIG, NSEC och DS.

  • Möjlighet att kontrollera om den DNS-server som den kommunicerade med har utfört verifiering på klientens begäran.

DNS-klientens funktion i förhållande till DNSSEC kontrolleras med NRPT (Name Resolution Policy Table), där inställningar om DNS-klientens funktion lagras. NRPT hanteras vanligtvis genom grupprincip.

Ytterligare referenser

  • Nyheter i DNS (https://go.microsoft.com/fwlink/?LinkId=139322 - sidan kan vara på engelska)


Innehåll