Поскольку DNS часто подвержен атакам третьих сторон, подмене адресов и атакам «отравления» кэша, от которых трудно защититься, сервер и клиент DNS в Windows Server® 2008 R2 представляют поддержку для расширений безопасности DNS (DNSSEC). DNSSEC позволяет подписывать зону DNS и все находящиеся в ней записи криптографическим ключом. Когда DNS-сервер с подписанной зоной получает запрос, кроме записей он возвращает цифровые подписи. Сопоставитель или другой сервер может получить открытый ключ из пары открытого и закрытого ключей и проверить подлинность запросов. Для этого сопоставитель или сервер следует настроить с якорем доверия для подписанной зоны или родительского объекта этой зоны.
Основные расширения DNSSEC указаны в RFC 4033, 4034 и 4035 и добавляют исходные права, целостность данных и отрицания существования при проверке подлинности в DNS. Кроме ряда новых принципов и операций для DNS-сервера и DNS-клиента, в DNSSEC реализованы четыре новые записи ресурсов (DNSKEY, RRSIG, NSEC и DS) для DNS.
В DNS-сервер в Windows Server 2008 R2 внесены следующие изменения:
- Возможность подписи зон и размещения подписанных зон.
- Поддержка изменений протокола DNSSEC.
- Поддержка записей ресурсов DNSKEY, RRSIG, NSEC и DS.
В DNS-клиент в Windows Server 2008 R2 внесены следующие изменения:
-
Возможность указать знание DNSSEC в запросах.
-
Возможность обработки записей ресурсов DNSKEY, RRSIG, NSEC и DS.
- Возможность проверки выполнения DNS-сервером, взаимодействие с которым осуществляется, проверки от имени клиента.
Поведение DNS-клиента с учетом DNSSEC контролируется с помощью таблицы политики разрешения имен (NRPT), где хранятся параметры, определяющие это поведение. Управление NRPT обычно осуществляется с помощью групповой политики.
Дополнительные ссылки
Новые возможности DNS (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=139322)