Använd de här riktlinjerna när du vill se till att DNS-servrarna (Domain Name System) i nätverket är säkra.
Granska och konfigurera standardinställningarna för tjänsten DNS Server som påverkar säkerheten
Konfigurationsalternativen för tjänsten DNS Server nedan påverkar säkerheten för både den vanliga och den Active Directory-integrerade tjänsten DNS Server.
| Standardinställning | Beskrivning |
|---|---|
|
Gränssnitt |
Som standard konfigureras en DNS-servertjänst på en dator med flera IP-adresser så att den lyssnar på DNS-frågor med hjälp av alla IP-adresser. Begränsa IP-adresserna som tjänsten DNS Server lyssnar på till den IP-adress som DNS-klienterna använder som prioriterad DNS-server. Mer information finns i Begränsa en DNS-server till att endast lyssna på valda adresser. |
|
Skydda cacheminnet mot nedsmutsning |
Som standard skyddas tjänsten DNS Server från nedsmutsning av cacheminnet, vilket uppstår när DNS-frågesvar innehåller icke-auktoritära eller skadliga data. Med alternativet Skydda cachen mot nedsmutsning bidrar till att förhindra att någon som attackerar systemet smutsar ned cacheminnet på en DNS-server med resursposter som inte begärts av DNS-servern. Om du ändrar den här standardinställningen minskas integriteten för de svar som tillhandahålls av tjänsten DNS Server. Mer information finns i Skydda serverns cacheminne mot nedsmutsning av namn. |
|
Inaktivera rekursion |
Som standard är rekursion inte inaktiverat för tjänsten DNS Server. På så sätt kan DNS-servern utföra rekursiva frågor åt DNS-klienterna och DNS-servrar som har vidarebefordrat DNS-klientfrågor till den. Rekursion kan användas av attackerare som vill neka åtkomst till tjänsten DNS Server. Om det inte är tänkt att DNS-servern i nätverket ska ta emot rekursiva frågor ska alternativet därför inaktiveras. Mer information finns i Inaktivera rekursion på DNS-servern. |
|
Rottips |
Om du har en intern DNS-rot i DNS-infrastruktuen konfigurerar du rottipsen för de interna DNS-servrarna så att de endast pekar till de DNS-servrar där rotdomänen finns, och inte de DNS-servrar där Internetrotdomänen finns. Detta förhindrar att de interna DNS-servrarna skickar privat information över Internet när namn matchas. Mer information finns i Uppdatera rottips på DNS-servern och Uppdatera rottips. |
Hantera DACL på DNS-servrar som körs på domänkontrollanter
Förutom de standardinställningar för tjänsten DNS Server som påverkar säkerheten som redan har beskrivits används en DACL (åtkomstlista för godtycklig behörighet) på DNS-servrar som är konfigurerade som domänkontrollanter. Du kan använda DACL för att hantera behörigheterna för Active Directory-användare och -grupper som kan hantera tjänsten DNS Server.
I tabellen nedan listas standardnamn och -behörigheter för grupper eller användare för tjänsten DNS Server när den körs på en domänkontrollant.
| Grupp- eller användarnamn | Behörigheter |
|---|---|
|
Administratörer |
Tillåt: Läsa, Skriva, Skapa alla underordnade objekt, Särskilda behörigheter |
|
Skapare ägare |
Särskilda behörigheter |
|
DnsAdmins |
Tillåt: Läsa, Skriva, Skapa alla underordnade objekt, Ta bort underobjekt, Särskilda behörigheter |
|
Domänadministratörer |
Tillåt: Fullständig behörighet, Läsa, Skriva, Skapa alla underordnade objekt, Ta bort underobjekt |
|
Företagsadministratörer |
Tillåt: Fullständig behörighet, Läsa, Skriva, Skapa alla underordnade objekt, Ta bort underobjekt |
|
Företagets domänkontrollanter |
Tillåt: Särskilda behörigheter |
|
Åtkomst som är kompatibel med versioner före Windows 2000 |
Tillåt: Särskilda behörigheter |
|
System |
Tillåt: Fullständig behörighet, Läsa, Skriva, Skapa alla underordnade objekt, Ta bort underobjekt |
När tjänsten DNS Server körs på en domänkontrollant kan du hantera DACL med Active Directory-objektet MicrosoftDNS. Om du konfigurerar DACL i MicrosoftDNS-objektet har det samma effekt som om du konfigurerar DACL på DNS-servern i DNS-hanteraren, vilket är den metod som rekommenderas. Följaktligen ska säkerhetsadministratörerna för Active Directory-objekt och säkerhetsadministratörerna för DNS-servrar vara i direktkontakt med varandra för att säkerställa att administratörerna inte ändrar varandras säkerhetsinställningar.
Mer information finns i Säkerhetsinformation för DNS.