Para ajudar a proteger os servidores DNS (Sistema de Nomes de Domínio) na rede, utilize as seguintes directrizes.
Examine e configure as predefinições do serviço Servidor DNS que afectam a segurança
As seguintes opções de configuração do serviço Servidor DNS têm implicações de segurança para ambos os tipos de serviço, padrão e integrado no Active Directory.
Predefinição | Descrição |
---|---|
Interfaces |
Por predefinição, um serviço Servidor DNS que está a ser executado num computador de hospedagem múltipla é configurado para escutar consultas de DNS utilizando todos os endereços IP. Limite os endereços IP que o serviço Servidor DNS escuta ao endereço IP que os respectivos clientes utilizam como servidor DNS preferido. Para mais informações, consulte Restringir um servidor DNS para escutar apenas os endereços seleccionados. |
Proteger a cache contra poluição |
Por predefinição, o serviço Servidor DNS está protegido contra poluição da cache, que resulta quando respostas a consultas de DNS contêm dados não autoritativos ou maliciosos. A opção Proteger cache contra a poluição ajuda a impedir um atacante de poluir com sucesso a cache de um servidor DNS com registos de recursos que não foram solicitados pelo servidor DNS. A alteração desta predefinição reduz a integridade das respostas que são fornecidas pelo serviço Servidor DNS. Para obter mais informações, consulte Proteger a Cache do Servidor Contra Poluição de Nomes. |
Desactivar recursividade |
Por predefinição, a recursividade não está desactivada para o serviço Servidor DNS. Isto permite ao servidor DNS efectuar consultas recursivas em nome dos respectivos clientes de DNS e dos servidores DNS que reencaminharam consultas de cliente de DNS para ele. A recursividade pode ser utilizada por atacantes para negar o serviço Servidor DNS. Como tal, se um servidor DNS na rede não se destinar a receber consultas recursivas, deverá ser desactivado. Para obter mais informações, consulte Desactivar Recursão no Servidor DNS |
Sugestões para a raiz |
Se tiver uma raiz de DNS interna na infra-estrutura de DNS, configure as sugestões para a raiz dos servidores DNS internos de forma a apontarem apenas para os servidores DNS que alojam o domínio raiz, não para os servidores que alojam o domínio raiz da Internet. Isto evita que os servidores DNS internos enviem informações privadas pela Internet quando resolvem nomes. Para mais informações, consulte Actualizar Sugestões de Raiz no Servidor DNS e Actualizar Sugestões de Raiz. |
Gerir a DACL em servidores DNS em execução em controladores de domínio
Para além das predefinições do serviço Servidor DNS já descritas que afectam a segurança, os servidores DNS que estão configurados como controladores de domínio utilizam uma lista de controlo de acesso discricionária (DACL). Pode utilizar a DACL para controlar as permissões para os utilizadores e grupos do Active Directory que controlam o serviço Servidor DNS.
A tabela seguinte lista o grupo predefinido ou nomes de utilizador e permissões para o serviço Servidor DNS quando está em execução num controlador de domínio.
Nomes de grupos ou utilizadores | Permissões |
---|---|
Administradores |
Permitir: Leitura, Escrita, Criar Todos os Objectos Subordinados, Permissões Especiais |
Criador Proprietário |
Permissões especiais |
Admins de DNS |
Permitir: Leitura, Escrita, Criar Todos os Objectos Subordinados, Eliminar Objecto Subordinado, Permissões Especiais |
Admins de Domínio |
Permitir: Controlo Total, Leitura, Escrita, Criar Todos os Objectos Subordinados, Eliminar Objectos Subordinados |
Admins da Empresa |
Permitir: Controlo Total, Leitura, Escrita, Criar Todos os Objectos Subordinados, Eliminar Objectos Subordinados |
Controladores de Domínio da Empresa |
Permitir: Permissões especiais |
Acesso Compatível Pré-Windows 2000 |
Permitir: Permissões especiais |
Sistema |
Permitir: Controlo Total, Leitura, Escrita, Criar Todos os Objectos Subordinados, Eliminar Objectos Subordinados |
Quando o serviço Servidor DNS está a ser executado num controlador de domínio, pode gerir a respectiva DACL utilizando o objecto Active Directory MicrosoftDNS. Configurar a DACL no objecto MicrosoftDNS tem o mesmo efeito que configurar a DACL no servidor DNS no Gestor de DNS, que é o método recomendado. Consequentemente, os administradores de segurança dos objectos Active Directory e servidores DNS devem estar em contacto directo para garantir que os administradores não invertem as definições de segurança um do outro.
Para mais informações, consulte Informações de Segurança do DNS.