Per proteggere i server DNS (Domain Name System) nella rete, attenersi alle linee guida seguenti.
Esaminare e configurare le impostazioni del servizio Server DNS che influiscono sulla sicurezza
Le opzioni di configurazione seguenti del servizio Server DNS hanno implicazioni relative alla sicurezza sia per il servizio Server DNS standard che per il servizio Server DNS integrato in Active Directory.
| Impostazione predefinita | Descrizione |
|---|---|
|
Interfacce |
Per impostazione predefinita, un servizio Server DNS in esecuzione in un computer multihomed è configurato per restare in ascolto delle query DNS utilizzando tutti i relativi indirizzi IP. Limitare gli indirizzi IP su cui il servizio Server DNS resta in ascolto al solo indirizzo IP utilizzato dai client DNS come server DNS preferito. Per ulteriori informazioni, vedere Impostare un server DNS per restare in ascolto solo su determinati indirizzi. |
|
Proteggi la cache da accessi non autorizzati |
Per impostazione predefinita, nel servizio Server DNS la cache è protetta da accessi non autorizzati che possono avere origine da risposte a query DNS contenenti dati non autorevoli o dannosi. L'opzione Proteggi la cache da accessi non autorizzati consente di impedire all'eventuale autore di un attacco di accedere alla cache di un server DNS e inserire record di risorse non richiesti da tale server. La modifica di questa impostazione predefinita comporta una riduzione dell'integrità delle risposte fornite dal servizio Server DNS. Per ulteriori informazioni, vedere Proteggere la cache del server da un utilizzo non autorizzato dei nomi. |
|
Disattiva query ricorsiva |
Per impostazione predefinita, nel servizio Server DNS la ricorsione non è disattivata. In questo modo il server DNS può eseguire query ricorsive per conto dei relativi client DNS e dei server DNS che gli hanno inoltrato query di client DNS. La ricorsione può essere utilizzata dagli autori di attacchi per negare il servizio Server DNS. Se pertanto un server DNS della rete non è designato per ricevere query ricorsive, è consigliabile disattivare la ricorsione. Per ulteriori informazioni, vedere Disattivare la ricorsione nel server DNS. |
|
Parametri radice |
Se si dispone di una radice DNS interna nell'infrastruttura DNS, configurare i parametri radice dei server DNS interni in modo da puntare solo ai server DNS che ospitano il dominio radice interno e non ai server DNS che ospitano il dominio radice di Internet. In questo modo si evita che durante la risoluzione dei nomi i server DNS interni possano inviare informazioni private su Internet. Per ulteriori informazioni, vedere Aggiornare i parametri radice nel server DNS e Aggiornare i parametri radice. |
Gestire l'elenco DACL nei server DNS eseguiti nei controller di dominio
Oltre alle impostazioni predefinite del servizio Server DNS che influiscono sulla sicurezza già descritte, i server DNS configurati come controller di dominio utilizzano un elenco di controllo di accesso discrezionale (DACL, Discretionary Access Control List). L'elenco DACL può essere utilizzato per definire le autorizzazioni per gli utenti e i gruppi di Active Directory che controllano il servizio Server DNS.
Nella tabella seguente vengono elencati i nomi dei gruppi o degli utenti e le autorizzazioni predefiniti per il servizio Server DNS eseguito in un controller di dominio.
| Nomi di gruppi o di utenti | Autorizzazioni |
|---|---|
|
Administrators |
Consentite: Lettura, Scrittura, Crea tutti gli oggetti figlio, Autorizzazioni di accesso speciali |
|
Creator Owner |
Autorizzazioni di accesso speciali |
|
DnsAdmins |
Consentite: Lettura, Scrittura, Crea tutti gli oggetti figlio, Elimina oggetti figli, Autorizzazioni di accesso speciali |
|
Domain Admins |
Consentite: Controllo completo, Lettura, Scrittura, Crea tutti gli oggetti figlio, Elimina oggetti figli |
|
Enterprise Admins |
Consentite: Controllo completo, Lettura, Scrittura, Crea tutti gli oggetti figlio, Elimina oggetti figli |
|
Controller di dominio organizzazione |
Consentite: Autorizzazioni di accesso speciali |
|
Accesso compatibile precedente a Windows 2000 |
Consentite: Autorizzazioni di accesso speciali |
|
System |
Consentite: Controllo completo, Lettura, Scrittura, Crea tutti gli oggetti figlio, Elimina oggetti figli |
Quando il servizio Server DNS viene eseguito in un controller di dominio, è possibile gestire il relativo elenco DACL tramite l'oggetto MicrosoftDNS di Active Directory. Configurare l'elenco DACL nell'oggetto MicrosoftDNS equivale a configurarlo nel server DNS tramite Gestore DNS, che è il metodo consigliato. È consigliabile pertanto che gli amministratori della sicurezza degli oggetti di Active Directory e dei server DNS rimangano in contatto diretto per evitare di annullarsi reciprocamente le impostazioni di sicurezza effettuate.
Per ulteriori informazioni, vedere Informazioni sulla sicurezza per il DNS.