Como o DNS é muitas vezes sujeito a ataques man-in-the-middle, spoofing e cache-poisoning que são difíceis de defender, o servidor e cliente DNS no Windows Server® 2008 R2 introduz suporte para Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC). Resumindo, o DNSSEC permite que uma zona DNS e todos os registos da zona sejam assinados criptograficamente. Quando um servidor DNS que aloja uma zona assinada recebe uma consulta, devolve as assinaturas digitais além dos registos consultados. Um resolução ou outro servidor podem obter a chave pública do par de chaves pública/privada e validar se as respostas são autênticas e não foram adulteradas. Para tal, a resolução ou o servidor têm de ser configurados com uma âncora de fidedignidade para a zona assinada, ou para um principal da zona assinada.
As extensões DNSSEC principais são especificadas em RFCs 4033, 4034 e 4035 e adicionam autoridade de origem, integridade dos dados e rejeição autenticada de existência ao DNS. Além de vários novos conceitos e operações para o servidor DNS e cliente DNS, o DNSSEC introduz quatro novos registos de recurso (DNSKEY, RRSIG, NSEC e DS) no DNS.
As seguintes alterações estão disponíveis no servidor DNS no Windows Server 2008 R2:
- Capacidade para assinar uma zona e alojar zonas assinadas.
- Suporte para alterações ao protocolo DNSSEC.
- Suporte para registos de recurso DNSKEY, RRSIG, NSEC e DS.
As seguintes alterações estão disponíveis no cliente DNS no Windows Server 2008 R2:
-
Capacidade para indicar conhecimento do DNSSEC em consultas.
-
Capacidade para processar os registos de recurso DNSKEY, RRSIG, NSEC e DS.
- Capacidade para verificar se o servidor DNS com o qual comunicou executou a validação em nome do cliente.
O comportamento do cliente DNS em relação ao DNSSEC é controlado através da Tabela de Política de Resolução de Nomes (NRPT), que armazena as definições que definem o comportamento do cliente DNS. A NRPT é normalmente gerida através da Política de Grupo.
Referências adicionais
Novidades do DNS (https://go.microsoft.com/fwlink/?LinkId=139322) (pode estar em inglês)