在网络上使用DHCP服务器时请遵循安全性的非常好的操作，这是非常重要的。以下是DHCP和有关协议的已知安全性问题。

　　1．DHCP是不进行身份验证的协议

　　当用户连接到网络时，该用户无须提供凭据即可获得租约。因此只要DHCP服务器可用于提供租约，未经身份验证的用户就可以为任何DHCP客户端获得租约。DHCP服务器随租约提供的任何选项值，比如WINS服务器或DNS服务器的IP地址，对未经身份验证的用户都可用。如果DHCP客户端被标识为用户类别或供应商类别的成员，则与该类关联的选项也将可用。

　　对启用了DHCP的网络具有实际访问能力的恶意用户可以在DHCP服务器上发起拒绝服务攻击（DoS攻击），方法是通过从服务器请求大量的租约来消耗可用于其他DHCP客户端的租约数量。

　　针对以上身份验证安全威胁，建议采取如下措施。

　　 请确保未经授权的人员没有对网络进行物理访问或无线访问的权限。

　　 对网络上的每一台DHCP服务器都启用审核日志。定期检查审核日志文件，并在DHCP服务器收到来自客户端的不同寻常的大量租约请求时监视审核日志文件。审核日志文件提供了跟踪对DHCP服务器进行任何攻击的源所需的信息。审核日志文件的默认位置是％windir％\System32\Dhcp。

　　2．对DNS服务器的拒绝服务攻击可以通过DHCP服务器进行

　　当对DHCP服务器进行配置，由其充当DHCP客户端的DNS代理服务器并执行DNS动态更新时，恶意用户可能会通过向DHCP服务器发送大量租约请求的方法，对DHCP服务器和DNS服务器执行拒绝服务攻击。

　　针对以上拒绝服务攻击的威胁，建议采取如下措施。

　　请确保未经授权的人员没有对您的网络进行物理访问或无线访问的权限。

　　使用DHCP审核记录（在默认情况下位于％windir％\System32\Dhcp中）监视由DHCP服务器执行的DNS动态更新。

　　表所列的是用于DNS动态更新事件的事件ID。

表 用于DNS动态更新事件的事件ID

　　DHCP客户端的IP地址包含在DHCP审核记录中，这提供了对拒绝服务攻击源进行跟踪的能力。

　　3．未经授权的非Microsoft DHCP服务器可以向DHCP客户端租用IP地址

　　只有运行Windows 2000或Windows Server 2003的DHCP服务器才可以在Active Directory中获得授权。如果运行Windows 2000或Windows Server 2003的DHCP服务器发现它尚未在Active Directory中获得授权，则该DHCP服务器会停止对DHCP客户端的服务。归结于这种授权功能，如果恶意或无资格的用户在组织网络上安装了未授权的运行Windows 2000或Windows Server 2003的DHCP服务器，则该服务器将不能指派错误或有冲突的租约，以及用不准确的选项配置DHCP客户端或中断网络服务。

　　非Microsoft DHCP服务器软件不包含Windows 2000和Windows Server 2003 DHCP中提供的授权功能。由于DHCP客户端会向最近的DHCP服务器广播DHCP发送消息，因此，如果恶意用户在组织网络中安装了非Microsoft DHCP服务器，则附近的DHCP客户端将收到错误租约，它们可能与指派给网络中其他DHCP客户端的IP地址相冲突。此外，从非Microsoft DHCP服务器获得租约的DHCP客户端可能被该服务器用不准确的选项信息进行配置。这可能会更改网络通信的路由，从而导致网络无法正常工作。

　　针对以上安全威胁，建议确保未经授权的人员没有对您的网络进行物理访问或无线访问的权限。

　　另外，在为网络安装和配置DHCP前，要限制有权管理DHCP服务的人员。确保必须是Administrators组或DHCP Administrators组的成员，才能使用DHCP控制台或用于DHCP的Netsh命令管理DHCP服务器。另外，只有Domain Admins组的成员才可以在Active Directory中授权或取消授权DHCP服务器。限制这些组的成员身份，将管理服务器所必要的用户减少到最小数量。

　　如果有用户需要对DHCP控制台的只读访问权限，请将他们添加到DHCP Users组中，而不是DHCP Administrators组。