配置Windows Server 2012域名安全解析策略

河南 刘景云

DNSSec 的功能和特点

除了直接篡改DNS 服务器之间传输的数据外，黑客还可能通过各种手段入侵正常的DNS 服务器，将虚假的域名解析信息直接存储到该机的缓存区域，来蒙骗合法的客户端用户。

因为不法用户完全可以自建一台看似正常的DNS 服务器，并向其他的DNS 服务器发起域名查询操作，来诱使其获取该虚假DNS 服务器所管控的网络区域内的记录信息。当别的DNS 服务器向该虚假DNS 服务器发出查询请求时，得到的却是黑客精心预设的虚假IP 等恶意信息。当客户端查询相应的域名时，自然会落入黑客设置的陷阱之中。

为了避免出现这种情况，可以使用DNSSec（DNS Security）技术加以防范。使用DNSSec 技术，通过数字签名和加密密钥，对DNS 服务器之间的通讯数据进行加密，保证其彼此传输的信息是真实的未被恶意篡改的。

例如，当某台未经授权的DNS 服务器向某台经过授权的DNS 服务器查询域名信息时，得到的域名解析信息经过加密后传回给前者。该DNS 服务器经过检测无误后，才将其发送给客户端，并将这些信息存储在本机的缓存区域中。要想实现上述功能，授权DNS 服务器必须对自身DNS 区域进行签名处理。

这样，系统就会针对DNS存储区域内的每一条资源记录信息，创建对应的资源记录签名信息。授权的DNS 服务器会将所需的资源记录信息以及与之对应的签名信息一并发送出去。当非授权的DNS 接收之后，通过使用授权DNS 服务器的公钥信息以及资源记录签名信息，就可以准确检测该域解析信息是否被篡改过。同时，为了检测不存在的空资源记录信息，系统该会将DNS 区域中的所有记录进行排序操作，针对每一条资源记录创建对应的经过签名的NSec（即Next Secure）记录项目，每一条NSec 记录不仅包含对应的正常资源记录位置信息，还包括下一条正常资源记录位置信息。

这样，利用这些NSec 记录就可以将DNS 区域中的正常资源记录信息有机的连接在一起。当某个DNS 服务器向该授权的DNS 服务器提交的域名信息时，该DNS 服务器根据资源记录排序信息，不仅可以返回记录为空的信息，而且根据与上一条资源记录相关的NSec 记录，将下一个存在的域名信息一并发送过去，让非授权的DNS 服务器明了其提交的域名确实不存在。当然，为了防止黑客恶意利用NSec 特性，来非法获取授权DNS 服务器中的所有资源记录信息，在Windows Server 2012 中内置了更高版本的NSec 技术，来破解黑客的图谋。

配置和管理DNSSec

例如，在域中存在两台DNS 服务器，其名称为DNS1和DNS2，DNS1 扮演非授权DNS 服务器角色，DNS2 扮演授权DNS 服务器角色，其上安装的都是Windows Server 2012。

在DNS2上打开DNS 管理器，在左侧选择“正向查找区域”项，在其右键菜单上点击“新建区域”项，在向导界面中选择“主要区域”项，在下一步窗口中选择“至此域中控制器上运行的所有DNS服务器”项，点击“下一步”按钮，输入区域名称（例如“xxx.cn”），其余设置均保持默认，点击“完成”按钮，创建该区域。

之后选中该区域，在其右键菜单上点击“新建主机（A 或AAAA）”“新建别名（CNAME）”“新建邮件交换器（MX）”等项目，来创建所需的资源记录项目。例如创建名称 为“client1pc”，FQDN 名为“client1pc.xxx.cn”，IP为“172.16.0.100”的资源记录项目。当DNS1 接收到客户端的查询请求后，如果查询的就不在其管辖的网络区域内，或不在其缓存中存储的话，则DNS1 服务器会将该请求转发给DNS2 服务器，之后将获得的查询信息发送给客户端。

因此，需要在DNS1 的管理器中选择DNS1 服务器，在其属性窗口中的“转发器”面板中点击“编辑”按钮，输入DNS2 的IP 地址。这样，就可以通过项DNS2 服务器转发数据了。在客户机上打开PowerShell 窗口，执行“resole-dnsname clientpc1.xxx.cn -Server dns1 -dnssecok”命令，可以向DNS1 服务器发送解析请求，DN1 将解析“clientpc1.xxx.cn”域名的请求信息转发 给 了DNS2，由DNS2 进 行正确解析后，经由DNS1 的传送，客户端获得了正确的IP信息。在DNS2 服务器上打开DNS 管理器，在左侧选择“正向查找区域”→“xxx.cn”项，在其右键菜单上点击“对区域进行签名”项，在向导界面（如图1）中选择“使用默认设置对区域签名”项，点击“下一步”按钮，并执行签名处理。

一体化的制图数据生产更新采用集中和分布相结合的方式进行，即对地形要素数据进行集中建库管理，对制图数据的编辑处理采用分布式、分幅式和离线式的生产组织模式，对编辑完成的分幅制图数据集中建立制图数据库。因此，需要利用先进的数据库管理技术，基于地形要素数据库，按图幅范围输出数据，用于单幅地图的编辑处理，地图编辑完成后再返回数据库，进行集中建库管理。

完成后在工具栏上点击“刷新”，对该区域资源记录列表中进行整理操作。在列表的“类型”列中会出现一些新的记录项目类型（如图2），包括RR 签名、DNS密钥、NSec3（下一个安全参数）等。其中的“DNS 密钥”类型的项目包含该区域公钥信息。只有将这些信息导入到DNS1 中，DNS1 才可以信任该密钥并对传输的信息进行安全认证。在DNS2 上打开“C:WindowsSystem32dns”目录，在其中可以显示所有和DNS 设置相关的文件，上述公钥信息自然保存在其中。为便于操作，可将上述目录设置为共享状态（如共享名为“ymfw”），允许DNS1 访问，也可以将其中的“keyset-xxx.cn”附件复制出来，存放到DNS1 可以访问到的位置。

图1 区域签名向导界面

在DNS1 上打开DNS 管理器，在左侧选择“信任点”项，在其右键菜单上依次点击“导入”→“DNSKEY”项，然后在弹出窗口中输入“\dns2ymfwkeyset-xxx.cn”，或者点击“浏览”按钮，直接选择复制过来的上述文件。点击“确定”按钮，可以显示其拥有的DNSKEY 信任点信息。然后在PowerShell窗口执行“g e tdnsservertrustanchor xxx.cn”命令，也可以查看DNSKEY 信任点信息。在其中的“TrustAnchorState”列中必须显示为“Valid”，才表示有效。在客户端也可以执行“resolvednsname-namexxx.cn.trustanchors -type dnskey -Server dns1”命令，来显示DNS1拥有的DNSKEY 信任点信息。为避免出现错误，可在DNS1 上执行“firewall.cpl”命令，将防火墙暂时关闭，避免出现网络连接受阻的情况。

图2 查看签名信息

配置域名安全解析策略

在客户机打开PowerShell窗口，执行“resole-dnsname clientpc1.xxx.cn -Server dns1 -dnssecok”命令，然后向DNS1 服务器发送解析请求，其中的“-dnssecok”参数表示让DNS1 服务器将和DNSSEC 相关的记录传送回来。

返回信息中，不仅可以显示解析的IP 地址，还会显示详细的签名信息。

为了进一步提高域名解析的安全性，必须让DNS1 验证从DNS2 接收的资源记录信息的合法性。

选择“启用此规则中的DNSSec”和“要求DNS 客户端检查名称和地址数据是否已经由DNS 服务器验证”项，点击“创建”按钮，在“名称解析策略表”中显示上述策略，点击“应用”按钮，使该策略生效，如图3 所示。

图3 设置域名解析策略

之后在PowerShell 窗口中执行“gpupdate/force”命令，来刷新组策略。

执行“get-dnsclient nrptpolicy”命令，在返回信息中的“DnsSecValidation Required”栏中，如果显示为“True”，表示上述策略已经激活。

这样，当客户端向DNS1提交域名解析请求后，DNS1会项DNS2 转发该请求，当DNS1 接收到DNS2 发挥的域名解析信息后，会对其安全性进行验证，当验证通过确认没有被非法篡改后，才将其发送给客户端。

如果DNS1 上的DNSKEY信任点信息出现受损、丢失或者被破坏等情况后，则DNS1 服务器就无法信任DNS2 发送来的“xxx.cn”区域的DNSKEY 密钥，自然无法验证域名解析信息的完整性，对客户端也无法提供可靠的解析信息。

此刻，可在客户端上执行“ipconfig/flushdns”命令，清除DNS 缓存信息，然后再执行“resole-dnsname clientpc1.xxx.cn -Server dns1 -dnssecok”命令，则会发现无法获取所需的IP 信息，同时还会出现DNS 数据包不安全的警告信息。