A hálózaton a DNS-kiszolgálók biztonságossá tétele érdekében alkalmazza a következő irányelveket.
A DNS-kiszolgálószolgáltatás a biztonságot befolyásoló, alapértelmezett beállításainak áttekintése és konfigurálása
A DNS-kiszolgálószolgáltatás következő beállítási lehetőségei biztonsági következményekkel járnak mind a szabványos, mind az Active Directoryba integrált DNS-kiszolgálószolgáltatásra vonatkozóan.
Alapértelmezett beállítás | Leírás |
---|---|
Kapcsolatok |
Alapértelmezés szerint a többcímes számítógépeken telepített DNS-kiszolgálószolgáltatás úgy van konfigurálva, hogy az összes IP-címén figyelje a DNS-lekérdezéseket. Korlátozza azokat az IP-címeket, amelyeket a DNS-kiszolgálószolgáltatás figyel, arra az IP-címre, amelyet az ahhoz tartozó DNS-ügyfelek elsődleges DNS-kiszolgálóként használnak. További információt DNS-kiszolgáló korlátozása csak a megadott címeken történő figyelésre című témakörben talál. |
A gyorsítótár szennyezés elleni védelme |
Alapértelmezés szerint a DNS-kiszolgálószolgáltatás védett a gyorsítótár-szennyezés ellen, amely akkor következik be, amikor a DNS-lekérdezés válaszai nem mérvadó vagy rosszindulatú adatot tartalmaznak. Az A gyorsítótár szennyezés elleni védelme beállítással megakadályozható a DNS-kiszolgáló gyorsítótárának a DNS-kiszolgáló által nem igényelt erőforrásrekordokkal való szennyezése. Ezen alapértelmezett beállítás módosítása csökkenti a DNS-kiszolgáló által adott válaszok sértetlenségét. További információt A kiszolgáló gyorsítótárának védelme a névszennyezéstől című témakörben talál. |
Rekurzió letiltása |
Alapértelmezés szerint a rekurzió nem tiltott a DNS-kiszolgálószolgáltatásban. Ez lehetővé teszi a DNS-kiszolgálónak, hogy rekurzív lekérdezéseket hajtson végre a DNS-ügyfelei és azon DNS-kiszolgálók nevében, amelyek DNS-ügyféllekérdezéseket továbbítottak a részére. A rekurziót a támadók a DNS-kiszolgálószolgáltatás megtagadására használhatják. Ezért ha a hálózaton egy DNS-kiszolgálón nem kíván rekurzív lekérdezéseket fogadni, tiltsa le azt. További információt a Rekurzió letiltása a DNS-kiszolgálón című témakörben talál. |
Gyökérmutatók |
Ha a DNS-infrastruktúrában belső DNS-gyökérrel rendelkezik, úgy állítsa be a belső DNS-kiszolgálók gyökérmutatóit, hogy csak a gyökértartományt (nem az internetes gyökértartományt) üzemeltető DNS-kiszolgálókra mutassanak. Ez megakadályozza, hogy a DNS-kiszolgálók a névfeloldás során személyes adatokat küldjenek az interneten keresztül. További információkat a Gyökérmutatók frissítése a DNS-kiszolgálón és a Gyökérmutatók frissítése című témakörökben talál. |
A tartományvezérlőkön futó DNS-kiszolgáló tulajdonosi hozzáférés-vezérlési listájának (DACL) kezelése
A már ismertetett alapértelmezett DNS-kiszolgálószolgáltatás biztonságot érintő beállításain kívül a tartományvezérlőkként konfigurált DNS-kiszolgálók egy tulajdonosi hozzáférés-vezérlési listát (DACL) használnak. A tulajdonosi hozzáférés-vezérlési lista engedélyek szabályozására használható olyan Active Directory-felhasználók és -csoportok esetén, amelyek a DNS-kiszolgálószolgáltatást irányítják.
A következő táblázat felsorolja a DNS-kiszolgálószolgáltatás alapértelmezett csoport- vagy felhasználóneveit és engedélyeit, amikor az egy tartományvezérlőn fut.
Csoport vagy felhasználó neve | Engedélyek |
---|---|
Rendszergazdák |
Engedélyezés: Olvasás, Írás, Az összes gyermekobjektum létrehozása, Speciális engedélyek |
Létrehozó tulajdonos |
Speciális engedélyek |
DNS-gazdák |
Engedélyezés: Olvasás, Írás, Az összes gyermekobjektum létrehozása, Gyermekobjektumok törlése, Speciális engedélyek |
Tartománygazdák |
Engedélyezés: Teljes hozzáférés, Olvasás, Írás, Az összes gyermekobjektum létrehozása, Gyermekobjektumok törlése |
Vállalati rendszergazdák |
Engedélyezés: Teljes hozzáférés, Olvasás, Írás, Az összes gyermekobjektum létrehozása, Gyermekobjektumok törlése |
Vállalati tartományvezérlők |
Engedélyezés: Speciális engedélyek |
Windows 2000 előtti rendszerrel kompatibilis hozzáférés |
Engedélyezés: Speciális engedélyek |
Rendszer |
Engedélyezés: Teljes hozzáférés, Olvasás, Írás, Az összes gyermekobjektum létrehozása, Gyermekobjektumok törlése |
Ha a DNS-kiszolgálószolgáltatás egy tartományvezérlőn fut, a tulajdonosi hozzáférés-vezérlési lista (DACL) a MicrosoftDNS Active Directory-objektummal kezelhető. A tulajdonosi hozzáférés-vezérlési lista (DACL) beállításával a MicrosoftDNS objektumon ugyanaz a hatás érhető el, mint amikor a DNS-kiszolgálón állítja be a listát a DNS-kezelőben (amely az ajánlott módszer). Ezért az Active Directory-objektumok és a DNS-kiszolgálók biztonsági rendszergazdáinak közvetlen kapcsolatban kell lenniük annak érdekében, hogy a rendszergazdák ne módosítsák egymás biztonsági beállításait.
További információt a Biztonsági információk a DNS-hez című témakörben talál.