Verwenden Sie die folgenden Richtlinien, um die DNS-Server (Domain Name System) in Ihrem Netzwerk zu sichern.

Überprüfen und konfigurieren Sie die Standardeinstellungen für den DNS-Serverdienst, die sich auf die Sicherheit auswirken

Die folgenden Konfigurationsoptionen für den DNS-Serverdienst beeinflussen die Sicherheit des Standarddiensts und des in Active Directory-integrierten DNS-Serverdiensts.

Standardeinstellung Beschreibung

Schnittstellen

Ein DNS-Serverdienst, der auf einem mehrfach vernetzten Computer ausgeführt wird, ist standardmäßig für die Überwachung von DNS-Abfragen auf all seinen IP-Adressen konfiguriert. Beschränken Sie die IP-Adressüberwachung durch den DNS-Serverdienst auf die IP-Adresse, die von den DNS-Clients des Servers als bevorzugter DNS-Server verwendet wird.

Weitere Informationen finden Sie unter Einschränken der Überwachung durch einen DNS-Server auf ausgewählte Adressen.

Cache vor Beschädigungen sichern

Der DNS-Serverdienst ist standardmäßig vor Cacheverunreinigungen geschützt, die auftreten können, wenn DNS-Abfrageantworten nicht autorisierende oder schädliche Daten enthalten. Die Option Cache vor Beschädigungen sichern verhindert, dass ein Angreifer den Cache eines DNS-Servers mit Ressourceneinträgen verunreinigt, die nicht vom DNS-Server angefordert wurden. Durch Änderung dieser Standardeinstellung wird die Integrität der Antworten beeinträchtigt, die vom DNS-Serverdienst bereitgestellt werden.

Weitere Informationen finden Sie unter Sichern des Servercaches vor Verunreinigung durch Namen.

Rekursion deaktivieren

Die Rekursion ist für den DNS-Serverdienst standardmäßig nicht aktiviert. Dadurch kann der DNS-Server im Namen seiner DNS-Clients sowie im Namen von DNS-Servern, die DNS-Clientabfragen an ihn weiterleiten, rekursive Abfragen durchführen. Die Rekursion kann von Angreifern verwendet werden, um den DNS-Serverdienst zu verweigern. Wenn ein DNS-Server in Ihrem Netzwerk keine rekursiven Abfragen empfangen soll, sollte die Rekursion daher deaktiviert werden.

Weitere Informationen finden Sie unter Deaktivieren der Rekursion auf dem DNS-Server.

Stammhinweise

Wenn Ihre DNS-Infrastruktur einen internen DNS-Stamm aufweist, konfigurieren Sie die Stammhinweise auf Ihren internen DNS-Servern so, dass sie nur auf die DNS-Server verweisen, die als Hosts für Ihre Stammdomäne dienen, und nicht auf die DNS-Server, die als Hosts für die Internetstammdomäne verwendet werden. Dadurch wird verhindert, dass Ihre internen DNS-Server bei der Namensauflösung private Informationen über das Internet versenden.

Weitere Informationen finden Sie unter Aktualisieren von Stammhinweisen auf dem DNS-Server und unter Aktualisieren von Stammhinweisen.

Verwalten der DACL für DNS-Server, die auf Domänencontrollern ausgeführt werden

DNS-Server, die als Domänencontroller konfiguriert sind, verwenden zusätzlich zu den bereits beschriebenen Standardeinstellungen für den DNS-Serverdienst, die sich auf die Sicherheit auswirken, eine freigegebenen Zugriffssteuerungsliste (Discretionary Access Control List, DACL). Mithilfe der DACL können Sie die Berechtigungen für die Active Directory-Benutzer und -Gruppen steuern, die den DNS-Serverdienst steuern dürfen.

In der folgenden Tabelle sind die Standardgruppennamen oder -benutzernamen sowie die Berechtigungen für den DNS-Serverdienst auf einem Domänencontroller aufgeführt.

Gruppen- oder Benutzernamen Berechtigungen

Administratoren

Zulassen: Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Spezielle Berechtigungen

Ersteller-Besitzer

Spezielle Berechtigungen

DnsAdmins

Zulassen: Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen, Spezielle Berechtigungen

Domänen-Admins

Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen

Organisations-Admins

Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen

Unternehmensdomänencontroller

Zulassen: Spezielle Berechtigungen

Prä-Windows 2000 kompatibler Zugriff

Zulassen: Spezielle Berechtigungen

System

Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen

Wenn der DNS-Serverdienst auf einem Domänencontroller ausgeführt wird, können Sie seine DACL mithilfe des Active Directory-Objekts MicrosoftDNS verwalten. Das Konfigurieren der DACL für das Objekt MicrosoftDNS hat dieselbe Wirkung wie das Konfigurieren der DACL auf dem DNS-Server im DNS-Manager. Dies ist die empfohlene Methode. Daher sollten die Sicherheitsadministratoren für Active Directory-Objekte und die Sicherheitsadministratoren für DNS-Server miteinander in direktem Kontakt stehen, um sicherzustellen, dass keiner die Sicherheitseinstellungen des Anderen umkehrt.

Weitere Informationen finden Sie unter Sicherheitsinformationen für DNS.


Inhaltsverzeichnis