Những rủi ro thực tế của việc kích hoạt các bản cập nhật DNS không an toàn trên Windows là gì?

Những rủi ro thực tế của việc kích hoạt các bản cập nhật DNS không an toàn trên Windows là gì?

Theo như tôi thấy thì việc kích hoạt các bản cập nhật DNS không an toàn là một yêu cầu để cho phép các máy khách DHCP Linux đăng ký tên của chúng với FQDN.

Tôi muốn biết rằng đó là những rủi ro thực tế liên quan đến vấn đề này để đánh giá xem liệu có ổn khi kích hoạt chúng hay không.

Theo như tôi biết thì một chiếc máy sẽ không thể tiếp quản một cái tên dành riêng khác, đây sẽ là mối quan tâm thực sự duy nhất mà tôi bây giờ.

Rõ ràng đó sẽ là DDOS nhưng xem xét rằng chúng ta đang nói về mạng nội bộ ở đây, tôi nghi ngờ đây có thể là một rủi ro thực sự.

Bạn có cho phép nó trên miền của bạn hay không? Bạn đã bao giờ phải vô hiệu hóa nó do có một số vấn đề với nó?

Về cơ bản, bạn không bao giờ nên cho phép cập nhật không an toàn. Cá nhân tôi thậm chí không thích rằng máy chủ DNS thậm chí còn cho phép bạn tắt các cập nhật an toàn. Điều này cho phép bất kỳ ai trên mạng của bạn (như tin tặc) đăng ký bản ghi DNS mà không cần xác thực Active Directory. Điều này sẽ cho phép kẻ tấn công "giả mạo" tên DNS trên mạng của bạn và chuyển hướng mọi người đến một máy chủ khác ngoài tên mà họ nghĩ họ sẽ đến.

Một ví dụ khác khi cài đặt này có thể vô tình làm hỏng ngày của bạn thay vì độc hại ... ai đó đã tắt cập nhật an toàn ... tất cả các HP ILO (ngoài quản lý băng tần) trên tất cả các máy trên mạng đột nhiên có thể bắt đầu đăng ký động bản ghi DNS của riêng họ ... nhưng ILO được đặt tên giống như các máy chủ, vì vậy họ ghi đè lên bản ghi DNS của máy chủ lưu trữ!

Vô hiệu hóa cập nhật an toàn là một ý tưởng khủng khiếp. Chỉ không.

Để có giải pháp khả thi giúp khách hàng Linux của bạn tận dụng DHCP để đăng ký bản ghi DNS một cách an toàn, điều này có thể giúp: Đăng ký bản ghi cho hộp Linux của tôi trên máy chủ DNS / DHCP Windows 2008 của tôi