Verwenden Sie die folgenden Richtlinien, um die DNS-Server (Domain Name System) in Ihrem Netzwerk zu sichern.
Überprüfen und konfigurieren Sie die Standardeinstellungen für den DNS-Serverdienst, die sich auf die Sicherheit auswirken
Die folgenden Konfigurationsoptionen für den DNS-Serverdienst beeinflussen die Sicherheit des Standarddiensts und des in Active Directory-integrierten DNS-Serverdiensts.
Standardeinstellung | Beschreibung |
---|---|
Schnittstellen |
Ein DNS-Serverdienst, der auf einem mehrfach vernetzten Computer ausgeführt wird, ist standardmäßig für die Überwachung von DNS-Abfragen auf all seinen IP-Adressen konfiguriert. Beschränken Sie die IP-Adressüberwachung durch den DNS-Serverdienst auf die IP-Adresse, die von den DNS-Clients des Servers als bevorzugter DNS-Server verwendet wird. Weitere Informationen finden Sie unter Einschränken der Überwachung durch einen DNS-Server auf ausgewählte Adressen. |
Cache vor Beschädigungen sichern |
Der DNS-Serverdienst ist standardmäßig vor Cacheverunreinigungen geschützt, die auftreten können, wenn DNS-Abfrageantworten nicht autorisierende oder schädliche Daten enthalten. Die Option Cache vor Beschädigungen sichern verhindert, dass ein Angreifer den Cache eines DNS-Servers mit Ressourceneinträgen verunreinigt, die nicht vom DNS-Server angefordert wurden. Durch Änderung dieser Standardeinstellung wird die Integrität der Antworten beeinträchtigt, die vom DNS-Serverdienst bereitgestellt werden. Weitere Informationen finden Sie unter Sichern des Servercaches vor Verunreinigung durch Namen. |
Rekursion deaktivieren |
Die Rekursion ist für den DNS-Serverdienst standardmäßig nicht aktiviert. Dadurch kann der DNS-Server im Namen seiner DNS-Clients sowie im Namen von DNS-Servern, die DNS-Clientabfragen an ihn weiterleiten, rekursive Abfragen durchführen. Die Rekursion kann von Angreifern verwendet werden, um den DNS-Serverdienst zu verweigern. Wenn ein DNS-Server in Ihrem Netzwerk keine rekursiven Abfragen empfangen soll, sollte die Rekursion daher deaktiviert werden. Weitere Informationen finden Sie unter Deaktivieren der Rekursion auf dem DNS-Server. |
Stammhinweise |
Wenn Ihre DNS-Infrastruktur einen internen DNS-Stamm aufweist, konfigurieren Sie die Stammhinweise auf Ihren internen DNS-Servern so, dass sie nur auf die DNS-Server verweisen, die als Hosts für Ihre Stammdomäne dienen, und nicht auf die DNS-Server, die als Hosts für die Internetstammdomäne verwendet werden. Dadurch wird verhindert, dass Ihre internen DNS-Server bei der Namensauflösung private Informationen über das Internet versenden. Weitere Informationen finden Sie unter Aktualisieren von Stammhinweisen auf dem DNS-Server und unter Aktualisieren von Stammhinweisen. |
Verwalten der DACL für DNS-Server, die auf Domänencontrollern ausgeführt werden
DNS-Server, die als Domänencontroller konfiguriert sind, verwenden zusätzlich zu den bereits beschriebenen Standardeinstellungen für den DNS-Serverdienst, die sich auf die Sicherheit auswirken, eine freigegebenen Zugriffssteuerungsliste (Discretionary Access Control List, DACL). Mithilfe der DACL können Sie die Berechtigungen für die Active Directory-Benutzer und -Gruppen steuern, die den DNS-Serverdienst steuern dürfen.
In der folgenden Tabelle sind die Standardgruppennamen oder -benutzernamen sowie die Berechtigungen für den DNS-Serverdienst auf einem Domänencontroller aufgeführt.
Gruppen- oder Benutzernamen | Berechtigungen |
---|---|
Administratoren |
Zulassen: Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Spezielle Berechtigungen |
Ersteller-Besitzer |
Spezielle Berechtigungen |
DnsAdmins |
Zulassen: Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen, Spezielle Berechtigungen |
Domänen-Admins |
Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen |
Organisations-Admins |
Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen |
Unternehmensdomänencontroller |
Zulassen: Spezielle Berechtigungen |
Prä-Windows 2000 kompatibler Zugriff |
Zulassen: Spezielle Berechtigungen |
System |
Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen |
Wenn der DNS-Serverdienst auf einem Domänencontroller ausgeführt wird, können Sie seine DACL mithilfe des Active Directory-Objekts MicrosoftDNS verwalten. Das Konfigurieren der DACL für das Objekt MicrosoftDNS hat dieselbe Wirkung wie das Konfigurieren der DACL auf dem DNS-Server im DNS-Manager. Dies ist die empfohlene Methode. Daher sollten die Sicherheitsadministratoren für Active Directory-Objekte und die Sicherheitsadministratoren für DNS-Server miteinander in direktem Kontakt stehen, um sicherzustellen, dass keiner die Sicherheitseinstellungen des Anderen umkehrt.
Weitere Informationen finden Sie unter Sicherheitsinformationen für DNS.