Iremos verificar como exigir e consultar uma validação de consulta DNS com a segurança DNSSEC.

O NRPT (Tabela de Políticas de Resolução de Nome) é utilizado para exigir a validação do DNSSEC.
Podemos utilizar uma Diretiva de Grupo, pode ser local ou de domínio para configurar o NRTP nos computadores do domínio ou locais.

A validação do DNS com o DNSSEC é muito importante, pois assinamos a zona e também exigimos que o registro receba essa assinatura e quando consultado exige uma autenticação e a integridade dos dados que são trocados entre os servidoes DNS ou os clientes DNS fornecidos, o DNSSEC adiciona a segurança às respostas DNS e fornece a capacidade dos Servidores DNS de validarem essas respostas.

Iremos verificar os passos para exigir a validação DNSSEC em todo o domínio, iremos utilizar uma GPO para configurar e distribuir o NRTP.



As assinaturas que são geradas, ficam armazenadas na zona DNS, que por fim estão assinadas pelo DNSSEC, dessa forma quando um resolvedor emite uma consulta por um nome, o registro RRSIG é retornado na resposta e uma chave chamada DNSKEY(chave publica criptográfica) é necessária para verificar a assinatura.

Como assinar uma zona DNS com o DNSSEC - http://social.technet.microsoft.com/wiki/pt-br/contents/articles/23659.assinando-uma-zona-dns-com-o-dnssec-windows-server-2012-r2.aspx

Como distribuir pontos de segrurança DNSSEC para servidores DNS que são membros do domínio - http://social.technet.microsoft.com/wiki/pt-br/contents/articles/23862.distribuir-pontos-de-seguranca-dnssec-windows-server-2012-r2.aspx

Após assinar a zona e distribuir o  ponto de confiança para um servidor de DNS membro do domínio, será executado agora os passos para exigir a validação do DNSSEC.

Em Gerenciamento de diretiva de Grupo, iremos criar uma nova diretiva e realizar as edições.



Configuração do Computador > Políticas > Configurações do Windows > Política de Resolução de Nome



Para criar uma lista de NRPT, criei a regra como apresentada na imagem.

Escolha Sufixo e qual a zona que está assinada com o DNSSEC, no caso do Lab é sec.thiagoguirotto.com.br
Logo abaixo, seleciona na Aba DNSSEC:

Enable DNSSEC in this rule

e em Validação:
Require DNS clients to check that name and address data has been validated bu the DNS server.

Clique em Create.

Será criado sua tela de NRTP.

Só com o Create como mostrado na imagem não é o suficiente a configuração, role a barra para baixo, veja a tabela da política de resolução de nomes criada, ai sim clique em Aplicar.



Atualiza a diretiva de grupos com o Gpupdate para forçar a atualização, ou aguarde o tempo padrão, 90 minutos.

Neste artigo, eu atualizei a diretiva e verifiquei com o comando no PowerShell - Get-DnsClientNrptPolicy a validação sendo requerida em DnsSecValidationRequired.



Neste artigos, aprendemos a exigir que todas as consultas de nomes com o DNS seja autenticada e criptografada pela segurança do DNS o DNSSEC, após aprendemos como consultar se realmente a validação está sendo requerida.

Este artigo foi criado originalmente por:

Thiago Guirotto de Oliveira

Senior Infrastructure Analyst

 

Microsoft® Certified Solutions Expert: Private Cloud

Microsoft® Certified Trainer

MTAC |Microsoft Technical Audience Contributor

MCS | MCSA | MCITP | MCTS | MCC | MCP

www.thiagoguirotto.com.br

facebook.com/thiagoguirotto

http://www.windowsstudygroup.com.br/

guirotto_tgo@hotmail.com