Win 2K動態DNS的安全考慮(3)_Windows教程

三、活動目錄集成DNS 區域

　　在 windows 2000下活動目錄與DDNS集成，因此實現活動目錄安全第一步是實現 DDNS的安全。

　　1．文件系統

　　使用NTFS。windows 2000 的版本是 NTFS v5，此版本允許設置文件和文件夾的安全、加密文件系統和審核。NTFS v5 不與先前的NTFS兼容。在安裝了Service Pack 4 或更高版本的NT4.0上只能讀取NTFS v5。

　　NTFS通過設置文件夾和文件級別訪問權限來限制網絡或本地對文件的訪問。

　　NTFS和共享權限可以被用來非常精確的控制權限和繼承關系。
　　
　　2．注冊表

　　使用注冊表編輯器編輯DACL關系到每一個注冊表的配置單元。細節問題可以參考SANS出版的"Windows NT Security, Step-by-Step"。

　　3．Enterprise管理員和Schema管理員組

　　在Windows2000網絡建立之后，限制訪問這兩個管理員組。這些組出現在根域下并且有最高的權限。根據域的結構，管理可以被委派到域結構，因此管理可以被限制到單個域。

　　4．加密文件系統

　　Windows2000的NTFS提供了使用加密文件系統的選擇。EFS使用基于公共密鑰的技術來進一步限制文件的未授權訪問。

　　5．活動目錄中的DNS

　　DNS的安裝將擴展活動目錄的架構，包含了DNSUpdateProxy組。這是一個非常強大的組，它允許創建對象，這是不安全的，當這種情況發生時，任何授權用戶可以獲得這些對象的所有權。

　　DNS中客戶端的A記錄和PTR記錄會在DHCP處理進程中進行更新，這在上面有詳細地敘述。當客戶和服務器都是Windows2000時，安全動態更新可以通過默認安裝來完成，當有其它的用戶需要支持時，安全動態更新不能完成，除非DHCP服務器被加入到了DNSUpdateProxy組，加入DNSUpdateProxy組后，允許DHCP服務器為早期的客戶端執行動態更新。

　　如果DHCP服務運行在一個域控制器時，需要特別考慮的是，添加DHCP服務器到DNSUpdateProxy組，將允許所有用戶或計算機完全控制相應域控制器的DNS記錄。

　　6．資源記錄的所有權

　　DHCP服務器不能在早期的客戶端上執行安全動態更新，這在Windows2000網絡中是非常重要的。如果這種情況發生，會出現不能完全更新活動記錄的情況。例如，一個NT4.0的客戶端通過DHCP服務器在DNS中注冊了一個名字，當這臺機器被升級到Windows2000時，這個名字保持不變。DHCP服務器因其最先注冊了這個名字而擁有這個名字的資源記錄所有權，所以windows 2000客戶不能更新它自己的名字。

　　7．WINS查找

　　作為Windows2000最終的告誡，我將翻譯說明為什么WINS將是windows 2000網絡中最可能需要的部分。為什么呢？對所有非Windows2000客戶，NetBios解析仍是必需的。同樣，所有需要NetBios的程序也將需要WINS來做名字解析。WINS通過兩個特定的資源記錄直接集成到了DNS中：WINS和WINS-R。這分別為WINS做正向和反向記錄查找。

　　四、結論

　　總之，理解Windows2000使用DNS的過程是非常重要的。在文章的1.0部分"安全動態更新"和2.0部分"區域"中有了一個簡述。理解Windows2000的"gotcha's"和"caveats"也是非常重要的。3.0部分活動目錄集成DNS區域列舉了相關的項目。