كيفية تكوين DNSSEC على Windows Server

امتدادات أمان نظام اسم المجال أو DNSSEC هي مجموعة من الامتدادات لتأمين بروتوكول DNS. إنها إحدى الطرق لحماية خادم DNS ، إلى جانب قفل ذاكرة التخزين المؤقت DNS و تجمع المقبس DNS . يستخدم توقيعات التشفير للتحقق من استجابات DNS من أجل حماية نظامك. في هذا المنشور ، سنرى كيف يمكنك تكوين DNSSEC على Windows Server

تكوين DNSSEC على Windows Server

DNSSEC يعزز أمان DNS باستخدام توقيعات التشفير للتحقق من استجابات DNS ، مما يضمن أصالة وسلامتها. إنه يحمي من التهديدات الشائعة مثل DNS تخويف وتلاعب بتخزين ذاكرة التخزين المؤقت ، مما يجعل البنية التحتية DNS أكثر موثوقية. من خلال التوقيع على مناطق DNS ، يضيف DNSSEC طبقة من التحقق من الصحة دون تغيير آلية الاستجابة الأساسية للاستجابة. هذا يضمن أن بيانات DNS لا تزال آمنة أثناء الإرسال ، مما يوفر بيئة جديرة بالثقة للمستخدمين والمؤسسات. نظرًا لأن هدفنا الأساسي هو تأمين خادم DNS الخاص بك ، فإننا سنقوم بتكوين ليس فقط DNSSEC ، ولكن أيضًا قفل DNS Socket و DNS Cache.

لتكوين DNSSEC و DNS Socket Pool و DNS Cache Locking ، يمكنك متابعة الخطوات المذكورة أدناه.

1. تكوين DNSSEC
2. تكوين سياسة المجموعة
3. تجمع المقبس DNS
4. قفل ذاكرة التخزين المؤقت DNS

دعونا نتحدث عنهم بالتفصيل.

1] تكوين DNSSEC

دعنا نبدأ أولاً بإعداد DNSSEC في وحدة التحكم في مجالنا. للقيام بذلك ، تحتاج إلى اتباع الخطوات المذكورة أدناه.

1. افتح  مدير الخادم.
2. ثم ، اذهب إلى  أدوات> DNS.
3. قم بتوسيع الخادم ، ثم  منطقة البحث إلى الأمام ،  انقر بزر الماوس الأيمن على وحدة تحكم المجال ، وحدد DNSSEC> التوقيع على المنطقة .
4. مرة واحدة  معالج توقيع المنطقة  يظهر ، انقر فوق التالي.
5. يختار تخصيص معلمات توقيع المنطقة  وانقر فوق التالي.
6. إذا كنت على  الرئيسية الرئيسية  نافذة ، علامة يتم تحديد خادم Cloud Server DNS كسيد المفتاح ،  وانقر فوق التالي.
7. عندما تكون على واجهة مفتاح توقيع المفتاح (KSK) ،  انقر فوق إضافة.
8. انتقل إلى الخيارات ، وتحتاج إلى ملء جميع الحقول بشكل صحيح. تحتاج إلى ملء هذا وفقًا لمتطلبات مؤسستك ثم إضافة المفتاح.
9. بمجرد إضافتها ، انقر فوق التالي.
10. بعد وصولك إلى مفتاح توقيع المنطقة (ZSK)  الخيار ، انقر فوق إضافة ، املأ النموذج ، وحفظ. انقر فوق التالي.
11. على آمن التالي (NSEC)  شاشة ، املأ التفاصيل. NSEC (Next Secure) هو سجل DNSSEC يستخدم لإثبات عدم وجود اسم مجال من خلال توفير الأسماء التي تأتي قبل وبعدها في منطقة DNS ، مما يضمن المصادقة على الاستجابة ومقاومة للعبث.
12. عندما تكون على شاشة TA ، قم بخصم قم بتمكين توزيع مراس الثقة لفحص هذه المنطقة  و  قم بتمكين التحديث التلقائي لمثبتات الثقة على تمديد المفاتيح  مربعات الاختيار. انقر فوق التالي.
13. على معلمات التوقيع والاقتراع الشاشة ، أدخل تفاصيل DS ، وانقر فوق التالي.
14. أخيرًا ، انتقل إلى الملخص وانقر على التالي.
15. بمجرد الحصول على الرسالة الناجحة ، انقر على الانتهاء.

بعد تكوين المنطقة ، تحتاج إلى الذهاب إلى  نقطة الثقة> ae> اسم المجال  في مدير DNS للتأكيد.

2] تكوين سياسة المجموعة

بعد تكوين المنطقة ، نحتاج إلى إجراء بعض التغييرات على سياسة المجال الخاصة بنا باستخدام أداة إدارة سياسة المجموعة. للقيام بذلك ، اتبع الخطوات المذكورة أدناه.

1. افتح  إدارة السياسات الجماعية  برنامج.
2. الآن ، تحتاج إلى الذهاب إلى  Forest: Windows.ae> المجالات> windows.ae> انقر بزر الماوس الأيمن على سياسة المجال الافتراضي ،  وحدد تحرير.
3. انتقل إلى تكوين الكمبيوتر> السياسات> إعدادات Windows> انقر فوق سياسة دقة الاسم في محرر إدارة سياسات المجموعة.
4. في الجزء الأيمن ، تحت إنشاء قواعد ، يدخل Windows.ae في مربع لاحقة لتطبيق القاعدة على لاحقة مساحة الاسم.
5. تحقق من كليهما تمكين DNSSEC في هذه القاعدة و اطلب من عملاء DNS التحقق من صحة بيانات الاسم والعناوين مربعات ، ثم انقر يخلق لوضع اللمسات الأخيرة على القاعدة.

هكذا يمكنك تكوين DNSSEC. ومع ذلك ، فإن وظيفتنا لم تنجز. لتأمين الخادم الخاص بنا ، يجب علينا تكوين تجمع مقبس DNS وقفل ذاكرة التخزين المؤقت DNS

3] تجمع المقبس DNS

علة الزحف على شاشة التطبيق

يعزز تجمع Socket DNS أمان DNS عن طريق جعل منافذ المصدر عشوائية للاستعلامات الصادرة ، مما يجعل من الصعب على المهاجمين التنبؤ واستغلال المعاملات. تحتاج إلى فتح  PowerShell  كمسؤول وتشغيل الأمر التالي.

Get-DNSServer

أو

Get-DnsServerSetting -All | Select-Object -Property SocketPoolSize

تحتاج إلى التحقق  SocketPoolsize  لمعرفة الحجم الحالي للمسبح.

هدفنا هو زيادة حجم المقبس. كلما زادت القيمة ، كلما كانت الحماية أفضل. للقيام بذلك ، تحتاج إلى تشغيل الأمر التالي.

نوافذ آلة حاسبة عرافة

dnscmd /config /socketpoolsize 5000

ملاحظة: يمكن أن تكون القيمة ما بين 0 - 10000 فقط.

أعد تشغيل خادم DNS الخاص بك ، وستكون على ما يرام.

4] قفل ذاكرة التخزين المؤقت DNS

يمنع قفل DNS سجلات DNS المخزنة مؤقتًا من الكتابة فوق TTL ، مما يضمن سلامة البيانات وحمايتها ضد التسمم ذاكرة التخزين المؤقت. نحتاج إلى تشغيل الأمر التالي للتحقق من القيمة.

Get-DnsServerCache | Select-Object -Property LockingPercent

يجب أن يكون 100 ؛ إذا لم يكن الأمر كذلك ، فقم بتشغيل الأمر المذكور أدناه لتعيينه على 100.

Set-DnsServerCache –LockingPercent 100

إذا اتخذت هذه التدابير ، فسيكون خادم DNS آمنًا.

يقرأ:  كيفية تغيير خادم DNS مع موجه الأوامر أو PowerShell

هل يدعم Windows Server DNSSEC؟

نعم ، يدعم Windows Server DNSSEC ويسمح لك بتكوينه لتأمين مناطق DNS. يستخدم التواقيع الرقمية للتحقق من استجابات DNS ومنع الهجمات مثل الخداع. يمكنك تمكين DNSSEC من خلال أوامر DNS أو أوامر PowerShell.

يقرأ:  تمكين وتكوين DNS Aging & Scavenging في Windows Server

كيف أقوم بتكوين DNS لخادم Windows؟

لتكوين DNS على Windows Server ، نحتاج إلى تثبيت دور خادم DNS أولاً. بمجرد الانتهاء ، نحتاج إلى تعيين عنوان IP ثابت وتكوين إدخال DNS. نوصيك بالتحقق من دليلنا حول كيفية تثبيت وتكوين DNS على Windows Server.

اقرأ أيضا: قم بتغيير إعدادات DNS في Windows 11 بسهولة.