As opções de configuração de zona DNS (Domain Name System) nas seções que seguem têm implicações de segurança nas zonas padrão e zonas DNS integradas ao Active Directory.
Configurar atualizações dinâmicas seguras
Por padrão, a definição de Atualizações dinâmicas não é configurada para permitir atualizações dinâmicas. Essa é a configuração mais segura porque impede que invasores atualizem zonas DNS. No entanto, essa configuração impede que você aproveite os benefícios administrativos que a atualização dinâmica oferece. Configure os computadores para atualizar os dados DNS de forma mais segura, armazenando as zonas DNS nos Serviços de Domínio Active Directory (AD DS) e usando o recurso de atualização dinâmica segura. A atualização dinâmica segura restringe as atualizações de zona DNS somente aos computadores que tenham sido autenticados e que ingressaram no domínio Active Directory, onde se encontra o servidor DNS, e nas configurações de segurança específicas definidas nas listas de controle de acesso (ACLs) para a zona DNS.
Para obter mais informações, consulte Permitir somente as atualizações dinâmicas seguras.
Gerenciar a DACL nas zonas DNS armazenadas no AD DS
Você pode usar a lista de controle de acesso discricionário (DACL) para controlar as permissões dos usuários e grupos do Active Directory que podem controlar as zonas DNS.
A tabela a seguir lista as permissões e nomes de grupo ou de usuário padrão para zonas DNS armazenadas no AD DS.
| Nomes de grupo ou de usuário | Permissões |
|---|---|
|
Administradores |
Permitir: Leitura, Gravação, Criação de todos os objetos filho, Permissões especiais |
|
Usuários autenticados |
Permitir: Criação de todos os objetos filho |
|
Proprietário criador |
Permissões especiais |
|
DnsAdmins |
Permitir: Controle total, Leitura, Gravação, Criação de todos os objetos filho, Exclusão de objetos filho, Permissões especiais |
|
Admins. do domínio |
Permitir: Controle total, Leitura, Gravação, Criação de todos os objetos filho, Exclusão de objetos filho |
|
Administradores corporativos |
Permitir: Controle total, Leitura, Gravação, Criação de todos os objetos filho, Exclusão de objetos filho |
|
Controladores de domínio de empresa |
Permitir: Controle total, Leitura, Gravação, Criação de todos os objetos filho, Exclusão de objetos filho, Permissões especiais |
|
Todos |
Permitir: Leitura, Permissões especiais |
|
Acesso compatível com versões anteriores ao Windows 2000 |
Permitir: Permissões especiais |
|
Sistema |
Permitir: Controle total, Leitura, Gravação, Criação de todos os objetos filho, Exclusão de objetos filho |
Para obter mais informações, consulte Modificar a segurança de uma zona integrada ao diretório.
O serviço de Servidor DNS, executado em um controlador de domínio que tem zonas armazenadas no AD DS, armazena os dados da zona no AD DS usando objetos e atributos do Active Directory. A configuração da DACL nos objetos DNS do Active Directory tem o mesmo efeito da configuração da DACL em zonas DNS no Gerenciador DNS. Consequentemente, os administradores de segurança de objetos do Active Directory e os de dados DNS devem estar em contato direto para assegurar que não revertam as configurações de segurança uns dos outros.
A tabela a seguir descreve os objetos e os atributos do Active Directory usados pelos dados da zona DNS.
| Objeto | Descrição |
|---|---|
|
DnsZone |
Esse contêiner é criado quando uma zona é armazenada no AD DS. |
|
DnsNode |
Esse objeto folha é usado para mapear e associar um nome da zona aos dados do recurso. |
|
DnsRecord |
Esse atributo com vários valores de um objeto dnsNode é usado para armazenar os registros de recursos associados ao objeto nó nomeado. |
|
DnsProperty |
Esse atributo com vários valores de um objeto dnsZone é usado para armazenar informações da configuração da zona. |
Restringir transferências de zona
Por padrão, o serviço de Servidor DNS permite que informações da zona sejam transferidas somente para servidores listados nos registros de recursos do servidor de nomes (NS) de uma zona. Essa é uma configuração segura, mas para aumentar a segurança, essa configuração deverá ser alterada para a opção que permite transferências de zona para endereços IP especificados. A alteração dessa configuração para permitir transferências de zona para qualquer servidor pode expor os dados DNS a tentativas dos invasores de ocupar a rede.
Para obter mais informações, consulte Modificar as configurações da transferência de zona.
Noções básicas sobre o compromisso envolvido na delegação de zonas
Ao decidir se delegará nomes de domínio DNS para zonas hospedadas nos servidores DNS que são administrados separadamente, é importante analisar as implicações de segurança em conceder a vários indivíduos a capacidade de administrar os dados DNS da rede. A delegação de zonas DNS envolve um compromisso entre os benefícios de segurança de ter um único servidor DNS autoritativo para todos os dados DNS e os benefícios administrativos de distribuir a responsabilidade do namespace DNS para administradores separados. Essa questão é muito importante ao delegar os domínios de nível superior de um namespace DNS particular, porque esses domínios contêm dados DNS confidenciais.
Para obter mais informações, consulte Noções básicas sobre delegação de zonas.
Recuperar dados da zona DNS
Se os dados DNS estiverem corrompidos, restaure o arquivo da zona DNS da pasta de backup localizada na pasta %systemroot%/DNS/Backup. Quando uma zona é criada pela primeira vez, é adicionada uma cópia da zona à pasta de backup. Para copiar a zona, copie o arquivo da zona original da pasta de backup na pasta %systemroot%/DNS. Ao usar o Assistente de Nova Zona para criar a zona, especifique o arquivo de zona na pasta %systemroot%/DNS como o arquivo da nova zona. Para obter mais informações, consulte Adicionar uma zona de pesquisa direta.
Essa operação se aplica apenas a zonas padrão que não estão armazenadas no AD DS.
Para obter mais informações, consulte Informações sobre segurança do DNS.