Pokud chcete zabezpečit servery DNS (Domain Name System) v síti, postupujte podle následujících pokynů.
Kontrola a konfigurace nastavení služby serveru DNS, které mají vliv na zabezpečení
Následující možnosti konfigurace služby serveru DNS ovlivňují zabezpečení standardní služby serveru DNS a služby serveru DNS integrované se službou Active Directory.
| Výchozí nastavení | Popis |
|---|---|
|
Rozhraní |
Služba serveru DNS spuštěná v počítači s více adresami je konfigurována pro příjem dotazů DNS prostřednictvím všech příslušných adres IP. Omezte počet adres IP, prostřednictvím kterých služba serveru DNS komunikuje, na adresu IP používanou v klientech DNS k označení upřednostňovaného serveru DNS. Další informace naleznete v tématu Omezení serveru DNS pro naslouchání pouze na vybraných adresách. |
|
Zajistit mezipaměť proti znečištění |
Ve výchozím nastavení je služba serveru DNS zajištěna proti znečištění mezipaměti. Ke znečištění mezipaměti může dojít v případech, kdy odpovědi na dotazy DNS obsahují neautorizovaná nebo škodlivá data. Možnost Zajistit mezipaměť proti znečištění umožňuje zabránit útočníkovi v úspěšném znečištění mezipaměti serveru DNS záznamy prostředků, které nebyly požadovány serverem DNS. Při změně výchozího nastavení tohoto parametru bude snížena integrita odpovědí poskytovaných službou serveru DNS. Další informace naleznete v tématu Zabezpečení mezipaměti serveru proti narušení názvů. |
|
Zakázat rekurzivní předávání |
Rekurze je ve výchozím nastavení služby serveru DNS povolena. To umožňuje serveru DNS zpracovávat rekurzivní dotazy v zastoupení příslušných klientů DNS a dotazy jiných serverů DNS, které serveru předaly žádosti vlastních klientů DNS. Rekurze však může být neoprávněnými uživateli zneužita k zablokování služby serveru DNS. Z tohoto důvodu je v případech, kdy server DNS v místní síti nebude přijímat rekurzivní dotazy, lepší rekurzi zakázat. Další informace naleznete v tématu Zakázání rekurze na serveru DNS |
|
Odkazy na kořenové servery |
Pokud místní infrastruktura DNS obsahuje interní kořenový server DNS, konfigurujte odkazy interních serverů DNS na kořenové servery tak, aby odkazovaly pouze na hostitelské servery DNS místní kořenové domény, a nikoli na hostitelské servery DNS kořenových domén sítě Internet. Tímto způsobem lze zabránit tomu, aby interní servery DNS při překladu názvů odesílaly po síti Internet soukromé informace. Další informace naleznete v tématu Aktualizace odkazů na kořenové servery na serveru DNS a Aktualizace odkazů na kořenové servery. |
Údržba seznamu řízení přístupu DACL (Discretionary Access Control List) pro servery DNS spuštěné v řadičích domény
Kromě uvedených výchozích parametrů služby serveru DNS týkajících se zabezpečení používají servery DNS konfigurované jako řadiče domén seznam řízení přístupu DACL. Pomocí tohoto seznamu řízení přístupu lze řídit oprávnění pro uživatele a skupiny služby Active Directory, které ovládají službu serveru DNS.
V následující tabulce jsou uvedeny názvy výchozích skupin a uživatelů spolu s přidělenými oprávněními pro službu serveru DNS spuštěného v řadiči domény.
| Skupina nebo jména uživatelů | Oprávnění |
|---|---|
|
Administrators |
Povoleno: Číst, Zapisovat, Vytvářet všechny podřízené objekty, Zvláštní oprávnění |
|
Creator Owner |
Zvláštní oprávnění |
|
DnsAdmins |
Povoleno: Číst, Zapisovat, Vytvářet všechny podřízené objekty, Odstraňovat podřízené objekty, Zvláštní oprávnění |
|
Domain Admins |
Povoleno: Úplné řízení, Číst, Zapisovat, Vytvářet všechny podřízené objekty, Odstraňovat podřízené objekty |
|
Enterprise Admins |
Povoleno: Úplné řízení, Číst, Zapisovat, Vytvářet všechny podřízené objekty, Odstraňovat podřízené objekty |
|
Enterprise Domain Controllers |
Povoleno: Zvláštní oprávnění |
|
Pre-Windows 2000 Compatible Access |
Povoleno: Zvláštní oprávnění |
|
Systém |
Povoleno: Úplné řízení, Číst, Zapisovat, Vytvářet všechny podřízené objekty, Odstraňovat podřízené objekty |
Pokud je služba serveru DNS spuštěna v řadiči domény, je možné spravovat seznam řízení přístupu DACL pomocí objektu MicrosoftDNS služby Active Directory. Konfigurace seznamu DACL prostřednictvím objektu MicrosoftDNS má stejný výsledek jako konfigurace seznamu DACL na serveru DNS ve Správci DNS (doporučená metoda). V důsledku toho je třeba, aby správci zabezpečení objektů služby Active Directory a serverů DNS byli v přímém kontaktu, aby jimi provedené konfigurační operace byly ve vzájemném souladu.
Další informace naleznete v tématu Informace o zabezpečení DNS.