所謂DNS，即domain name system，域名解析系統(tǒng)，它是互聯(lián)網(wǎng)上的身份標(biāo)識(shí)，豐富了互聯(lián)網(wǎng)的應(yīng)用和協(xié)議，所以確保Win2003域名上的DNS安全是一個(gè)非常重要的要求，由于DNS是AD域體系不可或缺的一部分，因此必須從源頭上開(kāi)始確保DNS的安全。

　　在Windows Server 2003上安裝DNS時(shí)，不要修改“活動(dòng)目錄集成DNS”的默認(rèn)設(shè)置。微軟在2000中開(kāi)始提供這種設(shè)定。

　　這意味著系統(tǒng)僅僅在DNS服務(wù)器上保存DNS數(shù)據(jù)，而不會(huì)保存或復(fù)制域控制器和全局目錄服務(wù)器上的相關(guān)信息。這樣不僅可以提升運(yùn)行速度，而且還提升了三種服務(wù)器的運(yùn)作效率。

　　對(duì)DNS服務(wù)器和客戶(hù)端(或其他服務(wù)器)之間的數(shù)據(jù)傳輸進(jìn)行加密也是至關(guān)重要的。DNS使用TCP/UDP的53端口;通過(guò)在你的安全界線(xiàn)上不同的點(diǎn)對(duì)這個(gè)端口進(jìn)行過(guò)濾，你可以確保DNS服務(wù)器只接受認(rèn)證過(guò)的連接。

　　另外，這也是一個(gè)部署IPSec的好時(shí)機(jī)，來(lái)對(duì)DNS客戶(hù)端和服務(wù)器之間的數(shù)據(jù)傳輸進(jìn)行加密。開(kāi)啟IPSec可以確保所有客戶(hù)端和服務(wù)器之間的通訊得到確認(rèn)和加密。這意味著你的客戶(hù)端僅僅和認(rèn)證過(guò)的服務(wù)器通訊，并有助于阻止請(qǐng)求欺騙或損害。

　　配置完畢DNS服務(wù)器之后，繼續(xù)監(jiān)視連接，就像你留意企業(yè)中其他高價(jià)值目標(biāo)一樣。DNS服務(wù)器需要可用的帶寬以服務(wù)客戶(hù)的請(qǐng)求。

　　如果你看到某個(gè)源機(jī)器上朝著DNS服務(wù)器發(fā)出了大量的網(wǎng)絡(luò)通訊，你可能是遭受了“拒絕服務(wù)攻擊”(denial-of-service，簡(jiǎn)稱(chēng)DoS)。直接從源頭切斷連接，或者斷掉服務(wù)器的網(wǎng)絡(luò)連接，直到你調(diào)查清楚問(wèn)題之后再說(shuō)。記住，一次成功的對(duì)DNS服務(wù)器的DoS攻擊會(huì)直接導(dǎo)致活動(dòng)目錄癱瘓。

　　使用默認(rèn)的設(shè)置(動(dòng)態(tài)安全更新)，只有認(rèn)證過(guò)的客戶(hù)端才可以注冊(cè)并更新服務(wù)器上的入口信息。這可以阻止攻擊者修改你的DNS入口信息，從而誤導(dǎo)客戶(hù)到精心偽造的網(wǎng)站上以竊取財(cái)務(wù)資料等重要信息。

　　你同樣可以使用配額以阻止客戶(hù)端對(duì)DNS的洪水攻擊?？蛻?hù)端通常只能注冊(cè)10個(gè)記錄。通過(guò)限制單個(gè)客戶(hù)可注冊(cè)的目標(biāo)數(shù)目，你可以阻止一個(gè)客戶(hù)端對(duì)它自己的DNS服務(wù)器進(jìn)行DoS攻擊。

　　注意:確定你對(duì)DHCP服務(wù)器，域控制器，以及多宿主服務(wù)器(multi-homed)使用了不同的定額。這些服務(wù)器依據(jù)他們提供的功能不同，可能需要注冊(cè)上百個(gè)目標(biāo)或用戶(hù)。

　　DNS服務(wù)器將對(duì)一個(gè)授權(quán)區(qū)域內(nèi)的任何查詢(xún)請(qǐng)求作出響應(yīng)。要想對(duì)外部世界隱藏你的內(nèi)部網(wǎng)絡(luò)架構(gòu)，通常需要設(shè)置一個(gè)分隔的姓名空間，這一般意味著一臺(tái)DNS服務(wù)器負(fù)責(zé)你的內(nèi)部DNS架構(gòu)，另一臺(tái)DNS服務(wù)器則負(fù)責(zé)外部以及Internet的DNS架構(gòu)。通過(guò)阻止外部用戶(hù)訪(fǎng)問(wèn)內(nèi)部DNS服務(wù)器，你可以防止內(nèi)部非開(kāi)放資源的泄露。

　　DNS的重要性是網(wǎng)絡(luò)管理員不可忽視的重要部分，不管是運(yùn)行windows網(wǎng)絡(luò)還是UNIX和windows的混合體，DNS的安全問(wèn)題都應(yīng)該成為一個(gè)核心要件，采取相應(yīng)措施，確保DNS不遭到外界和內(nèi)部的同時(shí)攻擊。