Cómo configurar DNSSEC en Windows Server

Como Configurar Dnssec En Windows Server



Extensiones de seguridad del sistema de dominio o DNSSEC es una colección de extensiones para asegurar el protocolo DNS. Es uno de los métodos para proteger el servidor DNS, junto con Bloqueo de caché DNS y Grupo de enchufes DNS . Utiliza firmas criptográficas para validar las respuestas DNS para proteger su sistema. En esta publicación, vamos a ver cómo puedes Configurar DNSSEC en Windows Server



Configurar DNSSEC en Windows Server

DNSSEC Mejora la seguridad del DNS mediante el uso de firmas criptográficas para validar las respuestas de DNS, asegurando su autenticidad e integridad. Protege contra amenazas comunes como la falsificación de DNS y la manipulación de caché, lo que hace que la infraestructura DNS sea más confiable. Al firmar zonas DNS, DNSSEC agrega una capa de validación sin alterar el mecanismo básico de respuesta de consulta. Esto garantiza que los datos de DNS sigan siendo seguros durante la transmisión, proporcionando un entorno confiable para los usuarios y organizaciones. Dado que nuestro objetivo principal es asegurar su servidor DNS, vamos a configurar no solo DNSSEC, sino también el grupo de caché DNS y el bloqueo de caché DNS.



Para configurar DNSSEC, DNS Socket Pool y DNS Cache Bloinking, puede seguir los pasos mencionados a continuación.



  1. Configurar DNSSEC
  2. Configurar la política de grupo
  3. Grupo de enchufes DNS
  4. Bloqueo de caché DNS

Hablemos de ellos en detalle.



1] Configurar DNSSEC

Configurar DNSSEC en Windows Server

descarga gratuita de herramienta de olfateo

Primero comencemos configurando DNSSEC en nuestro controlador de dominio. Para hacerlo, debe seguir los pasos mencionados a continuación.

  1. Abrir el  Administrador del servidor.
  2. Entonces, ve a  Herramientas> DNS.
  3. Expandir el servidor, entonces  Zona de búsqueda hacia adelante,  Haga clic con el botón derecho en el controlador de dominio y seleccione DNSSEC> Firmar la zona .
  4. Una vez que el  Asistente de firma de zona  Aparece, haga clic en Siguiente.
  5. Seleccionar Personalizar los parámetros de firma de zona  y haga clic en Siguiente.
  6. Si estás en el  Maestro clave  ventana, garrapata El servidor de nube del servidor DNS se selecciona como el maestro clave,  y haga clic en Siguiente.
  7. Cuando estás en el Interfaz clave de firma de clave (KSK),  Haga clic en Agregar.
  8. Revise las opciones y debe completar todos los campos correctamente. Debe completar esto de acuerdo con los requisitos de su organización y luego agregar la clave.
  9. Una vez agregado, haga clic en Siguiente.
  10. Después de llegar al Clave de firma de zona (ZSK)  Opción, haga clic en Agregar, complete el formulario y guarde. Haga clic en Siguiente.
  11. En el Siguiente Secure (NSEC)  pantalla, complete los detalles. NSEC (Next Secure) es un registro DNSSEC utilizado para demostrar la inexistencia de un nombre de dominio proporcionando los nombres que vienen antes y después en la zona DNS, asegurando que la respuesta sea autenticada y a prueba de manipulaciones.
  12. Cuando estés en la pantalla TA, marque Habilite la distribución de los anclajes de confianza para esta verificación de zona  Habilite la actualización automática de los anclajes de confianza en la reinversión de la clave  casillas de verificación. Haga clic en Siguiente.
  13. En el Parámetros de firma y encuesta pantalla, ingrese los detalles de DS y haga clic en Siguiente.
  14. Finalmente, revise el resumen y haga clic en Siguiente.
  15. Una vez que reciba el mensaje exitoso, haga clic en Finalizar.

Configurar DNSSEC en Windows Server



Después de configurar la zona, debe ir a  Punto de confianza> ae> nombre de dominio  en el gerente de DNS para confirmar.

2] Configurar la política de grupo

Después de configurar la zona, necesitamos hacer algunos cambios en nuestra política de dominio utilizando la utilidad de gestión de políticas grupales. Para hacerlo, siga los pasos mencionados a continuación.

  1. Abrir el  Gestión de políticas grupales  programa.
  2. Ahora tienes que ir a  Bosque: windows.ae> dominios> windows.ae> Haga clic con el botón derecho en la política de dominio predeterminada,  y seleccione Editar.
  3. Navegar por Configuración de la computadora> Políticas> Configuración de Windows> Haga clic en Política de resolución de nombre En el editor de gestión de políticas grupales.
  4. En el panel derecho, debajo Crear reglas , ingresar Windows.ae en el cuadro de sufijo para aplicar la regla al sufijo del espacio de nombres.
  5. Comprobar ambos Habilitar DNSSEC en esta regla y Requiere que los clientes DNS validen los datos de nombre y dirección cuadros, luego haga clic Crear para finalizar la regla.

Así es como puedes configurar DNSSEC. Sin embargo, nuestro trabajo no está hecho. Para asegurar nuestro servidor, debemos configurar el bloqueo de caché DNS Socket y DNS Cache.

3] DNS Socket Pool

El grupo de socket DNS mejora la seguridad del DNS al hacer que los puertos de origen sean aleatorios para consultas salientes, lo que dificulta que los atacantes predecan y exploten las transacciones. Necesitas abrir  Powershell  como administrador y ejecute el siguiente comando.

Get-DNSServer

O

Get-DnsServerSetting -All | Select-Object -Property SocketPoolSize

Necesitas verificar  Socketpoolsize  para conocer el tamaño actual de la piscina.

Nuestro objetivo es aumentar el tamaño del enchufe; Cuanto mayor sea el valor, mejor será la protección. Para hacerlo, debe ejecutar el siguiente comando.

41e972eddee3c9beba8f491afaaaaaaca7c6d2bab6f

Nota: El valor solo puede estar entre 0 y 10000.

Reinicie su servidor DNS y estará listo para comenzar.

4] Bloqueo de caché DNS

El bloqueo del DNS evita que los registros DNS almacenados en caché se sobrescriban durante su TTL, asegurando la integridad de los datos y la protección contra el envenenamiento por caché. Necesitamos ejecutar el siguiente comando para verificar el valor.

F2D88657FC2627B191224D13587132C6768A844

Debe ser 100; Si no es así, ejecute el comando mencionado a continuación para establecerlo en 100.

Set-DnsServerCache –LockingPercent 100

Si toma estas medidas, su servidor DNS estará seguro.

Leer:  Cómo cambiar el servidor DNS con el símbolo del sistema o PowerShell

¿Windows Server es compatible con DNSSEC?

Sí, Windows Server admite DNSSEC y le permite configurarlo para asegurar las zonas DNS. Utiliza firmas digitales para validar las respuestas DNS y prevenir ataques como la suplantación de suplantación. Puede habilitar DNSSEC a través de los comandos DNS Manager o PowerShell.

Leer:  Habilitar y configurar el envejecimiento y la búsqueda de DNS en Windows Server

¿Cómo configuro DNS para Windows Server?

Para configurar DNS en Windows Server, primero debemos instalar el rol del servidor DNS. Una vez hecho esto, necesitamos asignar una dirección IP estática y configurar la entrada DNS. Le recomendamos que consulte nuestra guía sobre cómo Instale y configure DNS en Windows Server.

Lea también: Cambie la configuración de DNS en Windows 11 fácilmente.

Categoría
DNS
Recomendado
El mejor software gratuito de administración de portapapeles para Windows 10
El mejor software gratuito de administración de portapapeles para Windows 10
Descargas
Use UWPHook para agregar juegos y aplicaciones de Microsoft Store a Steam con un solo clic
Use UWPHook para agregar juegos y aplicaciones de Microsoft Store a Steam con un solo clic
Ventanas
Diferencias entre Raspberry Pi A+ y Raspberry Pi B+
Diferencias entre Raspberry Pi A+ y Raspberry Pi B+
General
No se puede cambiar o crear un nuevo plan de energía en Windows 11
No se puede cambiar o crear un nuevo plan de energía en Windows 11
Fuerza
Entradas Populares
Acerca De Nosotros
Prankmike Proporciona Consejos, Directrices, Instrucciones Para Windows 10, Las Funciones Y El Software Libre.
Categorías
Mas Visto
Copyright © 2025Todos Los Derechos Reservados | prankmike.com | Política De Privacidad