De configuratieopties voor DNS-zones (Domain Name System) die in de volgende gedeelten worden besproken, zijn van belang voor de beveiliging van zowel reguliere als met Active Directory geïntegreerde DNS-zones.
Beveiligde dynamische updates configureren
Standaard is de instelling Dynamische updates niet zo geconfigureerd dat dynamische updates zijn toegestaan. Dit is de veiligste instelling omdat zo wordt voorkomen dat een kwaadwillige gebruiker DNS-zones bijwerkt. Deze instelling heeft echter als nadeel dat u niet kunt profiteren van de voordelen die dynamische updates bieden bij het beheren van de zones. Als u computers zo wilt configureren dat DNS-gegevens op een veiliger manier worden bijgewerkt, slaat u de DNS-zones op in AD DS (Active Directory Domain Services) en gebruikt u beveiligde dynamische updates. Bij beveiligde dynamische updates worden gegevens over de DNS-zone alleen bijgewerkt op geverifieerde computers die deel uitmaken van het Active Directory-domein waarin de DNS-server zich bevindt en alleen voor de specifieke beveiligingsinstellingen die zijn opgegeven in de toegangsbeheerlijsten (ACL) voor de DNS-zone.
Zie Alleen beveiligde dynamische updates toestaan voor meer informatie.
De DACL beheren voor de DNS-zones die in AD DS zijn opgeslagen
Met behulp van de DACL (Discretionary Access Control List) kunt u de machtigingen instellen voor de Active Directory-gebruikers en -groepen die de DNS-zones mogen beheren.
In de volgende tabel ziet u een overzicht van de namen van de standaardgroepen of -gebruikers en de machtigingen voor DNS-zones die in AD DS worden opgeslagen.
| Namen van groepen of gebruikers | Machtigingen |
|---|---|
|
Administrators |
Toestaan: Lezen, Schrijven, Alle onderliggende objecten maken, Speciale machtigingen |
|
Geverifieerde gebruikers |
Toestaan: Alle onderliggende objecten maken |
|
Maker Eigenaar |
Speciale machtigingen |
|
DnsAdmins |
Toestaan: Volledig beheer, Lezen, Schrijven, Alle onderliggende objecten maken, Onderliggende objecten verwijderen, Speciale machtigingen |
|
Domeinadministrators |
Toestaan: Volledig beheer, Lezen, Schrijven, Alle onderliggende objecten maken, Onderliggende objecten verwijderen |
|
Ondernemingsadministrators |
Toestaan: Volledig beheer, Lezen, Schrijven, Alle onderliggende objecten maken, Onderliggende objecten verwijderen |
|
Ondernemingsdomeincontrollers |
Toestaan: Volledig beheer, Lezen, Schrijven, Alle onderliggende objecten maken, Onderliggende objecten verwijderen, Speciale machtigingen |
|
Iedereen |
Toestaan: Lezen, Speciale machtigingen |
|
Pre-Windows 2000 Compatible Access |
Toestaan: Speciale machtigingen |
|
System |
Toestaan: Volledig beheer, Lezen, Schrijven, Alle onderliggende objecten maken, Onderliggende objecten verwijderen |
Zie De beveiligingsinstellingen van een met Active Directory geïntegreerde zone wijzigen voor meer informatie.
Als de zones van de DNS Server-service die op een domeincontroller wordt uitgevoerd in AD DS zijn opgeslagen, worden de bijbehorende zonegegevens in AD DS opgeslagen met behulp van Active Directory-objecten en kenmerken. Configuratie van de DACL voor de DNS Active Directory-objecten heeft hetzelfde effect als configuratie van de DACL voor DNS-zones in DNS-beheer. Het is daarom van belang dat de beveiligingsbeheerders van Active Directory-objecten en de beveiligingsbeheerders van DNS-gegevens rechtstreeks met elkaar overleggen om ervoor te zorgen dat ze elkaars beveiligingsinstellingen niet terugdraaien.
In de volgende tabel worden de Active Directory-objecten en -kenmerken beschreven die worden gebruikt voor de DNS-zonegegevens.
| Object | Beschrijving |
|---|---|
|
DnsZone |
Deze container wordt gemaakt wanneer een zone in AD DS wordt opgeslagen. |
|
DnsNode |
Dit leaf-object dient om een naam in de zone toe te wijzen aan en te koppelen met brongegevens. |
|
DnsRecord |
Dit meerwaardige kenmerk van een dnsNode-object wordt gebruikt om de bronrecords op te slaan die zijn gekoppeld aan het benoemde knooppuntobject. |
|
DnsProperty |
Dit meerwaardige kenmerk van een dnsZone-object wordt gebruikt om gegevens over de zoneconfiguratie op te slaan. |
Zoneoverdrachten beperken
Standaard kunnen zonegegevens met de DNS Server-service alleen worden overgedragen naar servers die voorkomen in de naamserverbronrecords (NS) van een zone. Dit is een veilige configuratie, maar u kunt de beveiliging verder verhogen door voor deze instelling de optie te gebruiken die zoneoverdrachten naar de opgegeven IP-adressen mogelijk maakt. Als u hiervoor de optie gebruikt die zoneoverdrachten naar willekeurige servers mogelijk maakt, zijn uw DNS-gegevens toegankelijk voor kwaadwillige gebruikers die uw netwerk in kaart proberen te brengen.
Zie Instellingen voor zoneoverdracht wijzigen voor meer informatie.
Het compromis dat zonedelegering heet
Moet u DNS-domeinnamen delegeren naar zones in uw netwerk die zijn ondergebracht op DNS-servers die afzonderlijk worden beheerd door meerdere mensen? Om deze vraag te kunnen beantwoorden is het van belang stil te staan bij de implicaties die dit voor de beveiliging heeft. Bij de delegering van DNS-zones moet er een afweging worden gemaakt tussen de voordelen op beveiligingsgebied die het gebruik van één bindende DNS-server voor alle DNS-gegevens biedt en de voordelen op beheergebied die gedeeld beheer van de DNS-naamruimte door afzonderlijke beheerders oplevert. Dit is van groot belang voor de delegering van de topleveldomeinen van een particuliere DNS-naamruimte. Deze domeinen bevatten namelijk zeer belangrijke DNS-gegevens.
Zie Wat is zonedelegering? voor meer informatie.
DNS-zonegegevens herstellen
Als de DNS-gegevens beschadigd zijn, kunt u het DNS-zonebestand terugzetten vanuit de back-upmap. Deze vindt u in de map %systemroot%/DNS/Backup. Wanneer u een zone voor het eerst maakt, wordt een kopie van de zone toegevoegd aan de back-upmap. U kunt de zone herstellen door het oorspronkelijke zonebestand vanuit de back-upmap naar de map %systemroot%/DNS te kopiëren. Wanneer u de wizard Nieuwe zone gebruikt om de zone te maken, geeft u het zonebestand in de map %systemroot%/DNS op als het zonebestand voor de nieuwe zone. Zie Een zone voor forward lookup toevoegen voor meer informatie.
Deze bewerking is alleen van toepassing op standaardzones die niet in AD DS zijn opgeslagen.
Zie Beveiligingsinformatie voor DNS voor meer informatie.