Ponieważ usługi DNS są często celem ataków typu „pośrednik” (man-in-the-middle), fałszowania i zatruwania pamięci podręcznej, przed którymi trudno się zabezpieczyć, na serwerze i kliencie usług DNS w systemie Windows Server® 2008 R2 wprowadzono obsługę rozszerzeń Domain Name System Security Extensions (DNSSEC). Rozszerzenia DNSSEC pozwalają na kryptograficzne podpisywanie strefy DNS i wszystkich rekordów, które się w niej znajdują. Gdy serwer DNS obsługujący podpisaną strefę odbiera zapytanie, poza rekordami, których dotyczy to zapytanie, zwraca także podpisy cyfrowe. Program rozpoznawania nazw lub inny serwer może uzyskać klucz publiczny z danej pary kluczy publiczny/prywatny i sprawdzić, czy odpowiedzi są autentyczne i nie zostały zmodyfikowane. Aby to zrobić, program rozpoznawania nazw lub serwer musi być skonfigurowany z użyciem kotwicy zaufania dla podpisanej strefy lub dla jej strefy nadrzędnej.
Podstawowe rozszerzenia DNSSEC są zdefiniowane w dokumentach RFC 4033, 4034 i 4035. Wzbogacają one system DNS o funkcje autoryzacji pochodzenia, integralności danych i uwierzytelnionej odmowy istnienia. Oprócz kliku nowych pojęć i operacji związanych z serwerem i klientem DNS, rozszerzenia DNSSEC wprowadzają do systemu DNS cztery nowe rekordy zasobów (DNSKEY, RRSIG, NSEC i DS).
W serwerze DNS w systemie Windows Server 2008 R2 są dostępne następujące zmiany:
- Możliwość podpisywania strefy i obsługi podpisanych stref.
- Obsługa zmian w protokole DNSSEC.
- Obsługa rekordów zasobów DNSKEY, RRSIG, NSEC i DS.
W kliencie DNS w systemie Windows Server 2008 R2 są dostępne następujące zmiany:
-
Możliwość informowania o rozszerzeniach DNSSEC w zapytaniach.
-
Możliwość przetwarzania rekordów zasobów DNSKEY, RRSIG, NSEC i DS.
- Możliwość sprawdzania, czy serwer DNS, z którym klient się komunikował, przeprowadził walidację na rzecz klienta.
Zachowanie klienta DNS odnośnie rozszerzeń DNSSEC można kontrolować za pomocą tabeli zasad rozpoznawania nazw (Name Resolution Policy Table, NRPT), w której są przechowywane ustawienia określające zachowanie klienta DNS. Tabela NRPT jest zwykle zarządzana za pośrednictwem zasad grupy.
Dodatkowe informacje
Co nowego w usłudze DNS (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?LinkId=139322)