Bei DNS-Servern (Domain Name System), die mit dem Internet verbunden sind, ist es besonders wichtig, dass die DNS-Infrastruktur vor Angriffen von Außen – oder auch vor Angriffen innerhalb des Unternehmens – geschützt wird. Wenn Ihr DNS-Server in Active Directory-Domänendienste (Active Directory Domain Services, AD DS) integriert ist, können Sie diesen für die Verwendung von sicheren dynamischen Updates konfigurieren, um unautorisierte Änderungen an den DNS-Daten zu verhindern. Mithilfe zusätzlicher Schritte können Sie das Risiko verringern, dass ein Angreifer die Integrität Ihrer DNS-Infrastruktur beeinträchtigt.
| Aufgabe | Verweis |
|---|---|
|
Legen Sie fest, welche DNS-Sicherheitsbedrohungen in Ihrer Umgebung von größter Bedeutung sind, und bestimmen Sie die erforderliche Sicherheitsstufe. |
|
|
Wenn Sie verhindern möchten, dass unternehmensfremde Personen interne Netzwerkinformationen abrufen, sollten Sie für die interne und die Internetnamensauflösung separate DNS-Server verwenden. Als Hosts für Ihren internen DNS-Namespace sollten nur DNS-Server hinter der Firewall für Ihr Netzwerk dienen. Ihre externe Internet-DNS-Präsenz sollte von einem DNS-Server in einem Perimeternetzwerk verwaltet werden. Zur Bereitstellung einer Internetnamensauflösung für interne Hosts können Sie Ihre internen DNS-Server als Weiterleitung zum Senden von externen Abfragen an Ihren externen DNS-Server verwenden. Konfigurieren Sie Ihren externen Router und die Firewall so, dass ausschließlich DNS-Datenverkehr zwischen Ihren internen und externen DNS-Servern zugelassen wird. |
|
|
Wenn die Zonenübertragung für die DNS-Server in Ihrem Netzwerk, die mit dem Internet verbunden sind, aktiviert werden muss, beschränken Sie die DNS-Zonenübertragungen entweder auf DNS-Server, die in der Zone durch Namenserver-Ressourceneinträge (NS) identifiziert sind, oder auf bestimmte DNS-Server in Ihrem Netzwerk. |
|
|
Wenn der Server, auf dem der DNS-Serverdienst ausgeführt wird, ein mehrfach vernetzter Computer ist, beschränken Sie den DNS-Serverdienst auf die Überwachung der Schnittstellen-IP-Adresse, die von seinen DNS-Clients und den internen Servern verwendet wird. Ein als Proxyserver verwendeter Server kann beispielsweise über zwei Netzwerkadapter verfügen: einen für das Intranet und einen für das Internet. Wenn auf diesem Server auch der DNS-Serverdienst ausgeführt wird, können Sie den Dienst auf die Überwachung des DNS-Datenverkehrs der IP-Adresse beschränken, die vom Intranet-Netzwerkadapter verwendet wird. |
Konfigurieren von mehrfach vernetzten Servern; Einschränken der Überwachung durch einen DNS-Server auf ausgewählte Adressen |
|
Stellen Sie sicher, dass die Standardserveroptionen, die die Caches aller DNS-Server vor Namenverunreinigung schützen, nicht geändert wurden. Eine Namenverunreinigung tritt auf, wenn DNS-Abfrageantworten nicht autorisierende oder schädliche Daten enthalten. |
|
|
Gestatten Sie nur sichere dynamische Updates für alle DNS-Zonen. Dadurch wird sichergestellt, dass nur authentifizierte Benutzer DNS-Updates auf sicherem Weg übermitteln können, und somit verhindert, dass die IP-Adressen vertrauenswürdiger Hosts von einem Angreifer missbräuchlich verwendet werden. |
|
|
Deaktivieren Sie die Rekursion auf DNS-Servern, die DNS-Clients nicht direkt antworten und für die keine Weiterleitungen konfiguriert sind. Ein DNS-Server benötigt die Rekursion nur zur Beantwortung von rekursiven Abfragen von DNS-Clients oder wenn für ihn eine Weiterleitung konfiguriert ist. DNS-Server verwenden iterative Abfragen zur Kommunikation untereinander. |
|
|
Wenn Sie über einen privaten, internen DNS-Namespace verfügen, konfigurieren Sie die Stammhinweise auf Ihren internen DNS-Servern so, dass sie nur auf die DNS-Server verweisen, die als Hosts für Ihre interne Stammdomäne dienen, und nicht auf die DNS-Server, die als Hosts für die Internetstammdomäne verwendet werden. |
|
|
Wenn der Server, auf dem der DNS-Serverdienst ausgeführt wird, ein Domänencontroller ist, verwenden Sie die Active Directory-Zugriffssteuerungslisten (Access Control Lists, ACLs) zur sicheren Zugriffssteuerung für den DNS-Serverdienst. |
Ändern der Sicherheit für den DNS-Serverdienst auf einem Domänencontroller |
|
Verwenden Sie nur AD DS-integrierte DNS-Zonen. DNS-Zonen, die in AD DS gespeichert sind, können die Active Directory-Sicherheitsfeatures, z. B. sichere dynamische Updates und die Anwendung der AD DS-Sicherheitseinstellungen auf DNS-Server, Zonen und Ressourceneinträge, nutzen. Wenn eine DNS-Zone nicht in AD DS gespeichert ist, sichern Sie die DNS-Zonendatei durch Änderung der Berechtigungen in der DNS-Zonendatei oder durch Änderung der Berechtigungen für den Ordner, in dem Sie Zonendateien gespeichert sind. Die Zonendatei- oder Ordnerberechtigungen sollten so konfiguriert werden, dass nur die Gruppe System über Vollzugriff verfügt. Standardmäßig werden Zonendateien im Ordner %systemroot%\System32\Dns gespeichert. |
Grundlegendes zur Integration in Active Directory-Domänendienste; Konfigurieren eines DNS-Servers für die Verwendung mit Active Directory-Domänendienste |