DNS seguras en redes Windows

Cómo garantizar la seguridad: DNS seguras 

DNS seguras en redes Windows

VALORACIÓN DEL ARTÍCULO:
5/5

Hablamos sobre el DNS seguras para Windows. El DNS se configura rápidamente en entornos de Windows Server con Active Directory, pero los aspectos de seguridad también deben desempeñar un papel importante. La resolución de nombres es una parte central en las redes que también debe asegurarse en consecuencia.

DNS está listo y funcionando rápidamente, especialmente en entornos de servidor de Windows. Después de la configuración, la configuración de seguridad debe realizarse a nivel del servidor DNS, las zonas y también en las autorizaciones de los usuarios.

 

Índice de contenidos

DNS seguras Windows

Cómo garantizar la seguridad: DNS seguras 

Zonas DNS seguras

Para proteger los servidores de DNS seguras basadas ​​en servidores Windows después de que se hayan configurado, primero se deben seguir algunos pasos básicos. En primer lugar, en las propiedades de las zonas DNS en la pestaña «General», se debe configurar la opción «Solo seguro» para «Actualizaciones dinámicas». Esto asegura que solo los equipos autenticados tengan derecho a crear entradas dinámicas. Si quieres estar absolutamente seguro, puedes desactivar las actualizaciones dinámicas y crear todas las entradas tú mismo.

En la misma pestaña se encuentra la opción “Replicación”. Aquí puedes establecer qué servidores DNS pueden recibir los datos de la zona DNS. Esta opción también debe configurarse para que se corresponda con los requisitos de seguridad de la empresa.

Si un servidor DNS también es un controlador de dominio, esta pestaña también se puede utilizar para controlar si los datos de DNS se integrarán en Active Directory y se replicarán en otros servidores DNS y controladores de dominio mediante la replicación de Active Directory.

Nota DHCP

En la configuración de los servidores DHCP, se especifica que los clientes que tienen una dirección IP de un servidor DHCP interno se ingresan en la zona DNS. La configuración se puede ajustar en el área DHCP. Por cierto, también puedes especificar aquí qué cuenta de usuario utiliza el servidor DHCP para acceder al servidor DNS con el fin de realizar las entradas.

Utiliza el Analizador de prácticas recomendadas para DNS

Si la infraestructura de DNS está en uso, el Analizador de mejores prácticas del Administrador de servidores en los servidores de Windows debe usarse después de la configuración y también durante el funcionamiento normal para verificar la configuración y la seguridad. Para hacer esto, primero se llama al administrador del servidor. Al menos, el mosaico DNS debe estar delineado en verde cuando lo llames para que quede claro que no hay errores aquí.

Al hacer clic en «DNS» en el administrador del servidor, se muestran los servidores DNS a los que está conectado el administrador del servidor. El cuadro » Analizador de mejores prácticas » también se puede ver en el área inferior. Los servidores DNS individuales se verifican y los mensajes se muestran a través de «Iniciar tareas / verificación BPA». Si no se enumeran aquí todos los servidores DNS, se pueden integrar en el Administrador del servidor a través de «Administrar / Agregar servidor».

Utiliza DNSSEC

servidores DNS individuales

En un entorno seguro, las zonas DNS seguras también deben estar firmadas digitalmente. Esto protegerá las entradas en las zonas. La ventaja es que los clientes de la red pueden validar la respuesta de un servidor DNS a una solicitud. Esto protege contra la suplantación y la manipulación de la caché de resolución de nombres. Configurarlo no es un problema importante en Windows Server 2016/2019.

La firma digital se puede realizar a través de la administración de DNS (dnsmgmt.msc). Para ello, haz clic derecho en la zona correspondiente y selecciona la opción » DNSSEC / Sign Zone «. Si la zona ya está firmada, la configuración se puede ajustar aquí o la firma se puede eliminar nuevamente. Al llamar a este comando, se inicia un asistente para configurar DNSSEC.

Cambios después de firmar zonas DNS

Cuando se ha firmado una zona, tiene un pequeño candado como icono. Además, la configuración se puede ajustar posteriormente a través del menú contextual de » DNSSEC » en la gestión de firmas. También hay nuevas entradas en la zona. Las entradas estándar se pueden ver aquí, así como la firma RR para las entradas individuales. Se debe ajustar una configuración de política de grupo para que los clientes de la red puedan usar la firma. Idealmente, se debería crear una política de grupo separada para la configuración.

La configuración para esto se puede encontrar en » Configuración del equipo / Políticas / Configuración de Windows / Política de resolución de nombres «. El sufijo DNS se ingresa en «Sufijo». Corresponde al nombre de la zona firmada. Luego, las opciones «Activar DNSSEC en esta regla» y «Asegúrate de que los clientes DNS deben asegurarte de que el servidor DNS haya verificado los datos de nombre y dirección». Luego haz clic en «Crear» y «Aplicar».

Usar controladores de dominio de solo lectura

En Active Directory, los controladores de dominio de solo lectura (RODC) también se pueden usar para ubicaciones de controlador de dominio inseguras. Estos controladores de dominio no aceptan cambios; solo reciben cambios del controlador de dominio de escritura. Los RODC también admiten zonas DNS firmadas. Para hacer esto, el servidor crea una zona secundaria y copia los datos guardados. Esto significa que la firma de DNS también se puede utilizar en sucursales donde los controladores de dominio no se pueden proteger.

Configurar zonas secundarias

Las zonas DNS secundarias también se pueden proteger. Lo importante en esta área es que en «transferencias de zona» se active un servidor primario «opción permitir transferencias de zona», y luego se configuren los servidores que van a recibir la zona DNS como zona secundaria.

Establecer configuraciones avanzadas para el servidor DNS

La pestaña «Avanzado» está disponible en las propiedades de los servidores DNS. Las opciones del servidor se pueden controlar aquí, lo que también mejora la seguridad. La opción «Deshabilitar el proceso de recursividad (y redirecciones)» asegura que el servidor no reenvíe ninguna solicitud a otros servidores DNS.

«Proteger el caché contra daños» evita que el servidor DNS manipule el caché. A menudo, esto se logra mediante los resultados de las consultas de los redireccionamientos.

TAMBIÉN TE INTERESA

proteger-tu-teléfono-Android-contra-malware

Cómo proteger tu teléfono Android contra malware: Consejos básicos

Proteger nuestros dispositivos móviles Android de cualquier tipo de malware es esencial. Hay medidas sobre cómo proteger tu teléfono Android contra malware, como descargar aplicaciones de orígenes confiables y revisar sus permisos. También hay medidas avanzadas, como descargar antivirus y usar contraseñas seguras. Es importante conocer los diferentes tipos de virus que existen, como adware,

batería smartphone

La guía definitiva para optimizar la batería en Android: consejos prácticos

En este artículo te ofrecemos la guía definitiva para optimizar la batería en Android. Te proporcionaremos consejos esenciales que puedes seguir para prolongar la vida de tu batería, ahorrar energía y evitar problemas comunes. Por ejemplo, te diremos cómo ajustar el brillo de la pantalla, seleccionar aplicaciones más eficientes en recursos y cerrar aplicaciones en

vídeos de YouTube

Cómo descargar vídeos de YouTube en tu ordenador: métodos y herramientas

Existen diferentes maneras para descargar vídeos de YouTube en tu ordenador, tanto legales como ilegales. A continuación, te explicamos algunos métodos y herramientas que puedes utilizar para llevar a cabo esta tarea. Por un lado, existen herramientas como ClipConverter, que te permiten descargar vídeos de YouTube incluyendo una selección de formato y calidad de descarga.

tecnología-vintage

La nueva resurrección de la tecnología vintage

La tecnología vintage vuelve a resurgir de sus cenizas cual ave Fénix. En pleno boom de la digitalización y de las soluciones más disruptivas, lo retro sigue teniendo muchos adeptos como demuestran las cifras que se manejan en distintos informes. Por melancolía, estética o porque siempre funcionaron bien, muchos se sienten atraídos por todo lo

Watchity-Social-Video-para-redes-sociales

Todo lo que te aportará Watchity Social Video en tus retransmisiones en las redes

El contenido de video es la forma preferida de publicidad en redes sociales para el 71% de los profesionales de marketing, según un informe de Wyzowl. Como resultado, la plataforma española de Enterprise Video Engagement, Watchity, ha lanzado Watchity Social Video, que pretende competir con Twitter, TikTok y YouTube como herramienta de creación y emisión de video profesional en redes sociales. Watchity Social Video permite emitir en vivo en múltiples cuentas al mismo tiempo, generar clips y compartirlos al instante, programar eventos, gestionar eventos simultáneos y personalizar la marca de tu evento.

mitos-y-verdades-sobre-redes-5G

Redes 5G: mitos y verdades

¿Hemos ido demasiado rápido pensando en el potencial de las redes 5G? ¿Se ha hablado demasiado y se han dado cosas por sentadas que aún no son ciertas? Tratamos en este post qué hay de cierto y qué no sobre el avance del 5G. Cabe recordar que esta tecnología de conectividad es la que permite