Windows에서 안전하지 않은 DNS 업데이트를 활성화하면 실질적인 위험은 무엇입니까?

안전하지 않은 DNS 업데이트를 활성화하는 것은 DHCP Linux 클라이언트가 FQDN에 이름을 등록 할 수있게하기위한 요구 사항입니다.

이것이 가능한지 여부를 평가하기 위해 이와 관련된 실제 위험이 무엇인지 알고 싶습니다.

내가 아는 한, 기계는 지금 내가 유일하게 염려 할 다른 예약 된 이름을 인수 할 수 없습니다.

분명히 DDOS 일 것입니다. 그러나 우리가 여기서 인트라넷에 대해 이야기하고 있다는 것을 고려할 때, 이것이 진짜 위험 일 수 있습니다.

도메인에서 사용하도록 설정 했습니까? 문제가있어 비활성화해야했던 적이 있습니까?

— 소린
소스

당신이 누군가가 어떤 호스트 이름을 선언 할 수 있도록하려면 잘하면 ... 그들의 (소비자 DSL 박스 같은)입니다

— joshudson

기본적으로 비보안 업데이트는 절대 허용해서는 안됩니다. 개인적으로 DNS 서버를 사용하여 보안 업데이트를 해제 할 수도 없습니다. 이를 통해 해커와 같은 네트워크의 모든 사용자가 Active Directory 인증없이 DNS 레코드를 등록 할 수 있습니다. 이를 통해 침입자는 네트워크에서 DNS 이름을 "스푸핑"하고 사람들을 자신이 생각한 것 이외의 다른 서버로 리디렉션 할 수 있습니다.

이 설정이 악의적이 아닌 실수로 하루를 망칠 수있는 또 다른 예 ... 누군가 보안 업데이트를 해제했습니다 ... 네트워크의 모든 컴퓨터에서 모든 HP ILO (대역 외 관리)가 갑자기 동적으로 등록을 시작할 수있었습니다. 자체 DNS 레코드 ...하지만 ILO의 이름은 서버와 동일하므로 호스트 서버의 DNS 레코드를 덮어 썼습니다!

보안 업데이트를 비활성화하는 것은 끔찍한 생각입니다. 하지마

:, 안전이 힘의 도움을 DNS 레코드를 등록하기 위해 활용 DHCP로 리눅스 클라이언트를 취득하기위한 해결 방안 등록 A 레코드를 내 Windows 2008 DNS / DHCP 서버에서 내 리눅스 상자

— 라이언 리 이스
소스

예, 누군가 서버와 동일한 이름의 컴퓨터를 연결 한 적이 있는데 전임자가 모든 형태의 보안을 해제했기 때문에 서버의 DNS 항목이 임의의 PC로 대체되어 모든 사용자가 서버는 그 PC에서 끝나고 !!!

— ETL

@ETL은이 "서버"가 오랫동안 오프라인 상태였으며 다른 머신이 그 이름을 가질 수있는 이유를 언급했습니다. 기계가 작동하는 동안 이런 일이 발생할 수 있을지 의심됩니다.

— sorin

@sorin-서버가 확실히 가동되었습니다. 내가 정확하게 기억한다면, 정적 DNS 엔트리 (편집을 위해 잠기지 않은)를 가진 리눅스 서버

— ETL

링크 된 게시물에서 솔루션을 구현하기 위해 노력하고 있습니다.

— sorin