Faille avec le groupe DNSUpdateProxy sur un DHCP ?
1 réponse
bigstyle
Bonjour,
Concrètement, peut-on m'expliquer en quoi le groupe DNSUpdateProxy
représentait une faille de sécurité sous windows 2000 lorsque ce dernier
était installé sur un DC sur lequel était aussi hebergé un DHCP ?
Security Considerations When You Use the DnsUpdateProxy Group You can resolve some DNS update concerns about maintaining secure updates if you add all DHCP servers to the DnsUpdateProxy group. However, you face additional security concerns when you add all DCHP severs to this group.
For example, any DNS domain names that are registered by the computer that is running the DHCP server are not secure. The host A resource record for the DHCP server itself is not secure. This issue is more significant if the DHCP server that is a member of the DnsUpdateProxy group is installed on a domain controller. To prevent this problem, manually specify a different owner for any DNS records that are associated with the DHCP server itself.
In this case, all service location (SRV), host A, or alias (CNAME) resource records that are registered by the Netlogon service for the domain controller are not secure. To prevent this problem, do not install a DHCP server on a domain controller.
If you run a Windows 2000 DHCP server on a Windows 2000 domain controller, the DHCP server has full control over all DNS objects stored in Active Directory because the DHCP server is running under the computer account (in this case, the domain controller).
En clair, tous les enregistrements DNS qui sont enregistrés par l'ordinateur qui exécute le serveur DHCP ne sont pas sécurisés. Dans ce cas, les enregistrements de service (SRV), nom d'hote A ou enregistrements de ressource d'alias (CNAME) effectués par le service Netlogon pour le contrôleur de domaine ne sont pas sécurisés.
Cdlt -- Fabrice Meillon Architecte Infrastructure Division Développeurs et Plate-Forme d'Entreprise Microsoft France
"bigstyle" a écrit dans le message de news: 41ed81b7$0$2533$
Bonjour,
Concrètement, peut-on m'expliquer en quoi le groupe DNSUpdateProxy représentait une faille de sécurité sous windows 2000 lorsque ce dernier était installé sur un DC sur lequel était aussi hebergé un DHCP ?
Security Considerations When You Use the DnsUpdateProxy Group
You can resolve some DNS update concerns about maintaining secure updates if
you add all DHCP servers to the DnsUpdateProxy group. However, you face
additional security concerns when you add all DCHP severs to this group.
For example, any DNS domain names that are registered by the computer that
is running the DHCP server are not secure. The host A resource record for
the DHCP server itself is not secure. This issue is more significant if the
DHCP server that is a member of the DnsUpdateProxy group is installed on a
domain controller. To prevent this problem, manually specify a different
owner for any DNS records that are associated with the DHCP server itself.
In this case, all service location (SRV), host A, or alias (CNAME) resource
records that are registered by the Netlogon service for the domain
controller are not secure. To prevent this problem, do not install a DHCP
server on a domain controller.
If you run a Windows 2000 DHCP server on a Windows 2000 domain controller,
the DHCP server has full control over all DNS objects stored in Active
Directory because the DHCP server is running under the computer account (in
this case, the domain controller).
En clair, tous les enregistrements DNS qui sont enregistrés par l'ordinateur
qui exécute le serveur DHCP ne sont pas sécurisés. Dans ce cas, les
enregistrements de service (SRV), nom d'hote A ou enregistrements de
ressource d'alias (CNAME) effectués par le service Netlogon pour le
contrôleur de domaine ne sont pas sécurisés.
Cdlt
--
Fabrice Meillon
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"bigstyle" <bigstyle@dlaballe.cjb.net> a écrit dans le message de news:
41ed81b7$0$2533$636a15ce@news.free.fr...
Bonjour,
Concrètement, peut-on m'expliquer en quoi le groupe DNSUpdateProxy
représentait une faille de sécurité sous windows 2000 lorsque ce dernier
était installé sur un DC sur lequel était aussi hebergé un DHCP ?
Security Considerations When You Use the DnsUpdateProxy Group You can resolve some DNS update concerns about maintaining secure updates if you add all DHCP servers to the DnsUpdateProxy group. However, you face additional security concerns when you add all DCHP severs to this group.
For example, any DNS domain names that are registered by the computer that is running the DHCP server are not secure. The host A resource record for the DHCP server itself is not secure. This issue is more significant if the DHCP server that is a member of the DnsUpdateProxy group is installed on a domain controller. To prevent this problem, manually specify a different owner for any DNS records that are associated with the DHCP server itself.
In this case, all service location (SRV), host A, or alias (CNAME) resource records that are registered by the Netlogon service for the domain controller are not secure. To prevent this problem, do not install a DHCP server on a domain controller.
If you run a Windows 2000 DHCP server on a Windows 2000 domain controller, the DHCP server has full control over all DNS objects stored in Active Directory because the DHCP server is running under the computer account (in this case, the domain controller).
En clair, tous les enregistrements DNS qui sont enregistrés par l'ordinateur qui exécute le serveur DHCP ne sont pas sécurisés. Dans ce cas, les enregistrements de service (SRV), nom d'hote A ou enregistrements de ressource d'alias (CNAME) effectués par le service Netlogon pour le contrôleur de domaine ne sont pas sécurisés.
Cdlt -- Fabrice Meillon Architecte Infrastructure Division Développeurs et Plate-Forme d'Entreprise Microsoft France
"bigstyle" a écrit dans le message de news: 41ed81b7$0$2533$
Bonjour,
Concrètement, peut-on m'expliquer en quoi le groupe DNSUpdateProxy représentait une faille de sécurité sous windows 2000 lorsque ce dernier était installé sur un DC sur lequel était aussi hebergé un DHCP ?
