(0) exportieren Drucken
Alle erweitern

DNS-Sicherheitserweiterungen

Letzte Aktualisierung: November 2009

Betrifft: Windows Server 2008 R2

DNS-Clients mit Windows 7 und Windows Server 2008 R2 sowie DNS-Server mit Windows Server 2008 R2 unterstützen DNS-Sicherheitserweiterungen (DNSSEC), um die Integrität von DNS-Einträgen entsprechend RFC (Request For Comments) 4033, 4034 und 4035 zu überprüfen. Durch die Überprüfung, ob ein DNS-Eintrag vom autorisierenden DNS-Server generiert wurde und ob der DNS-Eintrag geändert wurde, können Computer mit Windows 7 und Windows Server 2008 R2 die Integrität von DNS-Antworten sicherstellen.

Mit DNSSEC signieren autorisierende DNS-Server mit Windows Server 2008 R2, die DNSSEC unterstützen, kryptografisch eine DNS-Zone, um digitale Signaturen für alle Ressourceneinträge in der Zone zu generieren. Andere DNS-Server können einen Vertrauensanker verwenden, um sicherzustellen, dass ein DNS-Eintrag vom autorisierenden DNS-Server signiert wurde und dass er nicht geändert wurde.

Während DNS-Server die Überprüfung von DNS-Einträgen ausführen, sind DNS-Clients mit Windows 7 DNSSEC-fähig. Ein DNS-Client mit Windows 7 greift bei der DNSSEC-Überprüfung auf den zugehörigen lokalen DNS-Server zurück und kann kontrollieren, ob die Überprüfung für die Antworten erfolgreich durchgeführt wurde, bevor die Ergebnisse der Abfrage an eine Anwendung zurückgegeben werden.

In Abbildung 5 wird veranschaulicht, wie IPsec und DNSSEC eine End-to-End-DNSSEC-Lösung bereitstellen können, um eine DNS-Anforderung zu überprüfen, die mehrere Ebenen von DNS-Servern durchlaufen muss. Beispielsweise könnte sich der Clientcomputer in einer Filiale befinden und für die Verwendung von IPsec konfiguriert sein, um eine Verbindung zu einem lokalen, nicht autorisierenden DNS-Server mit Windows Server 2008 R2 herzustellen. Der lokale DNS-Server kann Anforderungen an den autorisierenden DNS-Server der Domäne weiterleiten, mit DNSSEC die Integrität interner DNS-Einträge überprüfen (auch wenn es mehrere Zwischen-DNS-Server gibt) und den Client darüber informieren, dass die Einträge mit DNSSEC überprüft wurden.

Grafik

Abbildung 5   DNSSEC kann Man-in-the-middle-Angriffe verhindern

Weitere Informationen zu DNSSEC finden Sie im Thema zu den neuen Funktionen in DNS.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft