Каковы практические риски включения небезопасных обновлений DNS в Windows?
Насколько я обнаружил, включение небезопасных обновлений DNS является требованием для того, чтобы клиенты DHCP Linux могли регистрировать свои имена с полным доменным именем.
Я хочу знать, каковы практические риски, связанные с этим, чтобы оценить, нормально ли это включать или нет.
Насколько я знаю, машина не сможет перехватить другое зарезервированное имя, что будет единственной реальной проблемой, которую я сейчас испытываю.
Очевидно, что это будет DDOS, но, учитывая, что речь идет об интранете, я сомневаюсь, что это может быть реальным риском.
У вас это включено на вашем домене или нет? Вам когда-нибудь приходилось отключать его из-за проблем с ним?
Ответы:
Вы никогда не должны разрешать небезопасные обновления. Лично мне даже не нравится, что DNS-сервер даже позволяет отключать безопасные обновления. Это позволяет любому в вашей сети (например, хакеру) регистрировать записи DNS без аутентификации Active Directory. Это позволило бы злоумышленнику «подделать» DNS-имя в вашей сети и перенаправить людей на другой сервер, а не на тот, на который они рассчитывали.
Другой пример, когда этот параметр может испортить ваш день случайно, а не злонамеренно ... кто-то отключил безопасные обновления ... все HP ILO (внешнее управление) на всех машинах в сети внезапно смогли начать динамическую регистрацию их собственные записи DNS ... но МОТ были названы так же, как серверы, поэтому они перезаписали записи DNS хост-серверов!
Отключение безопасных обновлений - ужасная идея. Просто не надо.
Для возможного решения, позволяющего вашим клиентам Linux использовать DHCP для безопасной регистрации DNS-записей, это может помочь: Зарегистрируйте записи A для моей системы Linux на моем сервере DNS / DHCP в Windows 2008
источник