Quais são os riscos práticos de habilitar as atualizações de DNS não seguras no Windows?
Tanto quanto eu descobri, habilitar as atualizações de DNS não seguras é um requisito para permitir que clientes DHCP Linux registrem seus nomes com um FQDN.
Eu quero saber quais são os riscos práticos envolvidos nisso, a fim de avaliar se não há problema em habilitá-los ou não.
Tanto quanto sei, uma máquina não seria capaz de assumir outro nome reservado, o que seria a única preocupação real que tenho agora.
Obviamente seria o DDOS mas considerando que estamos falando de intranet aqui, duvido que isso seja um risco real.
Você o habilitou em seu domínio ou não? Você já teve que desativá-lo devido a alguns problemas com ele?
Basicamente, você nunca deve permitir atualizações não seguras. Pessoalmente, nem gosto que o servidor DNS permita que você desative as atualizações seguras. Isso permite que qualquer pessoa em sua rede (como um hacker) registre registros DNS sem a necessidade de autenticação do Active Directory. Isso permitiria que o invasor "falsificasse" um nome DNS em sua rede e redirecionasse as pessoas para outro servidor diferente daquele para o qual pensavam que iriam.
Outro exemplo de quando essa configuração pode arruinar seu dia acidentalmente em vez de maliciosamente... alguém desativou as atualizações seguras... todos os HP ILOs (gerenciamento fora de banda) em todas as máquinas da rede foram subitamente capazes de iniciar o registro dinâmico seus próprios registros DNS... mas os ILOs receberam o mesmo nome dos servidores, então eles substituíram os registros DNS dos servidores host!
Desativar atualizações seguras é uma péssima ideia. Apenas não.
Para obter uma solução possível para fazer com que seus clientes Linux aproveitem o DHCP para registrar registros DNS com segurança, isso pode ajudar: Register A records for my Linux box on my Windows 2008 DNS/DHCP server