Étant donné que DNS fait souvent l’objet d’attaques de l’intercepteur, d’usurpation et d’empoisonnement du cache contre lesquelles il est difficile de se défendre, le serveur et le client DNS dans Windows Server® 2008 R2 introduisent la prise en charge des extensions de sécurité DNS (DNSSEC). En bref, DNSSEC permet à une zone DNS et à tous les enregistrements de cette zone d’être signés sous forme chiffrée. Lorsqu’un serveur DNS hébergeant une zone signée reçoit une requête, il renvoie les signatures numériques en plus des enregistrements faisant l’objet de la requête. Un programme de résolution ou un autre serveur peut obtenir la clé publique de la paire de clés publique/privée et confirmer que les réponses sont authentiques et n’ont pas été falsifiées. Pour ce faire, le programme de résolution ou le serveur doit être configuré avec une ancre d’approbation pour la zone signée ou pour un parent de la zone signée.

Les principales extensions DNSSEC sont spécifiées dans les documents RFC 4033, 4034 et 4035, et ajoutent des fonctionnalités d’autorité des origines, d’intégrité des données et de déni d’existence authentifié à DNS. Outre plusieurs nouveaux concepts et opérations pour le serveur DNS et le client DNS, DNSSEC introduit quatre nouveaux enregistrements de ressources (DNSKEY, RRSIG, NSEC et DS) dans DNS.

Les nouveautés suivantes sont disponibles dans le serveur DNS dans Windows Server 2008 R2 :

  • Capacité à signer une zone et à héberger des zones signées.

  • Prise en charge des modifications du protocole DNSSEC.

  • Prise en charge des enregistrements de ressources DNSKEY, RRSIG, NSEC et DS.

Les nouveautés suivantes sont disponibles dans le client DNS dans Windows Server 2008 R2 :

  • Capacité à indiquer une connaissance de DNSSEC dans les requêtes.

  • Capacité à traiter les enregistrements de ressources DNSKEY, RRSIG, NSEC et DS.

  • Capacité à vérifier si le serveur DNS avec lequel il a communiqué a effectué la validation au nom du client.

Le comportement du client DNS par rapport à DNSSEC est contrôlé par le biais de la table de stratégie de résolution des noms qui stocke des paramètres définissant le comportement du client DNS. La table de stratégie de résolution des noms est généralement gérée à l’aide de la stratégie de groupe.

Références supplémentaires

  • Nouveautés de DNS (https://go.microsoft.com/fwlink/?LinkId=139322) (éventuellement en anglais)

Table des matières