Home
  •  

Negação de Existência de DNSSEC do Windows DNS 2016 e 1709+ - Monitor de Segurança de Zona

Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence (UnitMonitor)

Este Monitor controla se a zona assinada está preparada para NSEC3 ou se está a ser utilizado NSEC simples para a negação de existência segura. A utilização exclusiva de NSEC para negação de existência segura pode causar a enumeração de zonas. Desativada por predefinição.

Knowledge Base article:

Resumo

Monitoriza se a Zona tem o NSEC3 ativado ou o NSEC ativado. Este monitor também está desativado por predefinição. Para determinados utilizadores, será conveniente monitorizar o Tipo de Negação de Existência.

Causas

Este Monitor controla se a Zona está preparada para NSEC3 ou se utiliza NSEC simples. Tendo em conta que o NSEC simples conduz à enumeração de dados da Zona, este detalhe poderá constituir uma preocupação para alguns clientes. Sempre que o estado DenialOfExistence mudar para NSEC, o monitor deverá mostrar um aviso.

Resoluções

Alterar o tipo de negação de existência nas propriedades de DNSSEC da Zona utilizando as ferramentas de gestão de DNS.

Element properties:

TargetMicrosoft.Windows.DNSServer.2016.Zone
Parent MonitorSystem.Health.PerformanceState
CategoryPerformanceHealth
EnabledFalse
Alert GenerateFalse
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType
RemotableTrue
AccessibilityPublic
RunAsMicrosoft.Windows.DNSServer.2016.ActionAccount

Source Code:

<UnitMonitor ID="Microsoft.Windows.DNSServer.2016.Monitor.DNSSEC.DenialOfExistence" Accessibility="Public" Enabled="false" Target="Microsoft.Windows.DNSServer.2016.Zone" ParentMonitorID="Health!System.Health.PerformanceState" Remotable="true" Priority="Normal" TypeID="Microsoft.Windows.DNSServer.2016.DNSSEC.DenialOfExistence.MonitorType" ConfirmDelivery="true" RunAs="Microsoft.Windows.DNSServer.2016.ActionAccount">

  <Category>PerformanceHealth</Category>

  <OperationalStates>

    <OperationalState ID="Unsigned.Or.NSEC3.State" MonitorTypeStateID="Unsigned.Or.NSEC3" HealthState="Success"/>

    <OperationalState ID="NSEC.State" MonitorTypeStateID="NSEC" HealthState="Warning"/>

  </OperationalStates>

  <Configuration>

    <ZoneName>$Target/Property[Type="Microsoft.Windows.DNSServer.2016.Zone"]/ZoneName$</ZoneName>

    <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</ComputerName>

    <IntervalSeconds>900</IntervalSeconds>

    <SyncTime/>

    <TimeoutSeconds>300</TimeoutSeconds>

  </Configuration>

</UnitMonitor>