Le rôle DNS sur Windows Server est souvent une cible privilégiée. Cet article montre comment configurer un serveur DNS primaire en environnement durci avec Windows Server Core 2022, en PowerShell uniquement, avec durcissement anti-poisoning, cache TTL, et intégration d’une surveillance avancée.
1. Installer le rôle DNS
Install-WindowsFeature -Name DNS -IncludeManagementTools2. Créer une zone DNS principale avec enregistrement
Add-DnsServerPrimaryZone -Name "corp.lan" -ZoneFile "corp.lan.dns" -DynamicUpdate Secure
Add-DnsServerResourceRecordA -Name "srv1" -ZoneName "corp.lan" -IPv4Address "10.10.0.10"3. Sécuriser les transferts de zone
Set-DnsServerPrimaryZone -Name "corp.lan" -SecureSecondaries TransferToSecureServers
Add-DnsServerSecondaryZone -Name "corp.lan" -MasterServers "10.10.0.1" -ZoneFile "corp.lan.sec.dns"4. Configurer les règles anti-spoofing DNS
Set-DnsServerGlobalQueryBlockList -BlockList wpad, isatap
Set-DnsServerResponseRateLimiting -ResponsesPerSec 10 -WindowSec 15. Diminuer la surface d’attaque avec TTL courts et logs DNS
Set-DnsServerCache -MaxTTL 600 -MaxNegativeTTL 120
Set-DnsServerDiagnostics -EnableLogging 1 -LogFilePath "C:\\logs\\dns.log"6. Supervision et tests
Resolve-DnsName srv1.corp.lan
Test-DnsServer -IPAddress 127.0.0.1 -ZoneName "corp.lan"Conclusion
Ce guide permet de déployer un serveur DNS complet, sécurisé, contrôlé et opérationnel sur une infrastructure Windows Core, sans recourir à l’interface graphique. Le tout est scriptable et compatible avec les normes de durcissement des réseaux internes d’entreprise.
