En las siguientes secciones, las opciones de configuración de zona del Sistema de nombres de dominio (DNS) tienen implicaciones de seguridad relativas a las zonas DNS estándar e integradas en Active Directory.

Configuración de actualizaciones dinámicas seguras

De forma predeterminada, la opción Actualizaciones dinámicas no está configurada para permitir actualizaciones dinámicas. Es la opción más segura, ya que impide que el atacante actualice las zonas DNS. No obstante, esta opción impide que el usuario pueda aprovechar las ventajas administrativas que proporciona la actualización dinámica. Si desea configurar los equipos para que actualicen los datos DNS de forma segura, almacene las zonas DNS en los Servicios de dominio de Active Directory (AD DS) y use la característica de actualización dinámica segura. La actualización dinámica segura restringe las actualizaciones de zona DNS a los equipos que se autentican y se unen al dominio de Active Directory en el que se ubica el servidor DNS y a la configuración de seguridad específica definida en las listas de control de acceso (ACL) de la zona DNS.

Para obtener más información, vea Permiso sólo para actualizaciones dinámicas seguras.

Administración de DACL en las zonas DNS almacenadas en AD DS

Puede usar la lista de control de acceso discrecional (DACL) para administrar los permisos de los usuarios y los grupos de Active Directory que puedan controlar las zonas DNS.

En la siguiente tabla se muestran los nombres y los permisos predeterminados de grupos o usuarios para las zonas DNS almacenadas en AD DS.

Nombres de grupos o usuarios Permisos

Administradores

Permitir: Lectura, Escritura, Crear todos los objetos secundarios, Permisos especiales

Usuarios autenticados

Permitir: Crear todos los objetos secundarios

Creator Owner

Permisos especiales

DnsAdmins

Permitir: Control total, Lectura, Escritura, Crear todos los objetos secundarios, Eliminar objetos secundarios, Permisos especiales

Administradores del dominio

Permitir: Control total, Lectura, Escritura, Crear todos los objetos secundarios, Eliminar objetos secundarios

Administradores de organización

Permitir: Control total, Lectura, Escritura, Crear todos los objetos secundarios, Eliminar objetos secundarios

Controladores de dominio empresariales

Permitir: Control total, Lectura, Escritura, Crear todos los objetos secundarios, Eliminar objetos secundarios, Permisos especiales

Todos

Permitir: Lectura, Permisos especiales

Acceso compatible con versiones anteriores a Windows 2000

Permitir: Permisos especiales

Sistema

Permitir: Control total, Lectura, Escritura, Crear todos los objetos secundarios, Eliminar objetos secundarios

Para obtener más información, vea Modificación de la seguridad de una zona integrada en directorio.

El servicio Servidor DNS que se ejecuta en un controlador de dominio y que tiene zonas almacenadas en AD DS almacena sus datos de zona en AD DS con objetos y atributos de Active Directory. Configurar la DACL en los objetos de Active Directory DNS tiene el mismo efecto que configurarla en zonas DNS del Administrador de DNS. En consecuencia, los administradores de la seguridad de los objetos de Active Directory y los administradores de la seguridad de los datos DNS deben estar en contacto directo para asegurarse de que no invierten sus respectivas configuraciones de seguridad.

En la siguiente tabla se describen los objetos y los atributos de Active Directory que usan los datos de zona DNS.

Objeto Descripción

DnsZone

Este contenedor se crea al almacenar una zona en AD DS.

DnsNode

Este objeto hoja se usa para asignar y asociar un nombre de la zona a datos de recursos.

DnsRecord

Este atributo multivalor de un objeto dnsNode se usa para almacenar los registros de recursos asociados al objeto de nodo denominado.

DnsProperty

Este atributo multivalor de un objeto dnsZone se usa para almacenar información de configuración.

Restricción de transferencias de zona

De forma predeterminada, el servicio Servidor DNS permite que la información de zona se transfiera sólo a servidores incluidos en los registros de recursos del servidor de nombres (NS) de una zona. Se trata de una configuración segura, pero para mayor seguridad, debe cambiarse a la opción que permite transferencias de zona a direcciones IP especificadas. Cambiar esta opción para permitir transferencias de zona a todos los servidores puede exponer los datos DNS a un atacante que intente realizar una representación de la red.

Para obtener más información, vea Modificación de la configuración de la transferencia de zona.

Descripción del compromiso implícito en la delegación de zonas

Si está considerando la posibilidad de delegar nombres de dominio DNS a zonas hospedadas en servidores DNS administrados de forma independiente, resulta importante tener en cuenta las implicaciones de seguridad que se derivan de otorgar a varios usuarios la capacidad de administrar los datos DNS de la red. La delegación de zonas DNS implica un compromiso entre las ventajas de seguridad de tener un solo servidor DNS autoritativo para todos los datos DNS y las ventajas administrativas de distribuir la responsabilidad del espacio de nombres DNS a otros administradores. Esta cuestión resulta muy importante al delegar los dominios de nivel superior de un espacio de nombres DNS privado, ya que dichos dominios contienen datos DNS confidenciales.

Para obtener más información, vea Descripción de delegación de zona.

Recuperación de datos de zona DNS

Si los datos DNS están dañados, puede restaurar el archivo de zona DNS desde la carpeta de copia de seguridad, ubicada en %systemroot%/DNS/Copia de seguridad. Cuando se crea una zona, se agrega una copia de ésta a la carpeta de copia de seguridad. Para recuperar la zona, copie el archivo de zona original desde la carpeta de copia de seguridad a la carpeta %systemroot%/DNS. Si usa el Asistente para nueva zona a fin de crear la zona, especifique el archivo de zona en la carpeta %systemroot%/DNS. Para obtener más información, vea Adición de una zona de búsqueda directa.

Esta operación se aplica sólo a zonas estándar que no se almacenan en AD DS.

Para obtener más información, vea Información de seguridad para DNS.


Tabla de contenido