Die DNS-Zonenkonfigurationsoptionen (Domain Name System) in den folgenden Abschnitten beeinflussen die Sicherheit der Standardzonen und der Active Directory-integrierten DNS-Zonen.
Konfigurieren von sicheren dynamischen Updates
Die Einstellung Dynamische Updates ist standardmäßig nicht für das Zulassen dynamischer Updates konfiguriert. Dies ist die sicherste Einstellung, da Angreifer auf diese Weise keine DNS-Zonenupdates durchführen können. Diese Einstellung verhindert jedoch, dass Sie die Vorteile nutzen können, die dynamische Updates für die Verwaltung bieten. Wenn Sie Ihre Computer so konfigurieren möchten, dass DNS-Daten auf sichere Weise aktualisiert werden, müssen Sie die DNS-Zonen in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) speichern und das Feature für sichere dynamische Updates verwenden. Sichere dynamische Updates beschränken die DNS-Zonenupdates auf Computer, die authentifiziert wurden und Mitglieder der Active Directory-Domäne sind, in der sich der DNS-Server befindet, sowie auf spezielle Sicherheitseinstellungen, die in den Zugriffssteuerungslisten (Access Control Lists, ACLs) für die DNS-Zone definiert sind.
Weitere Informationen finden Sie unter Zulassen von ausschließlich sicheren dynamischen Updates.
Verwalten der DACL für die DNS-Zonen, die in AD DS gespeichert sind
Mithilfe der freigegebenen Zugriffssteuerungsliste (Discretionary Access Control List, DACL) können Sie die Berechtigungen für die Active Directory-Benutzer und -Gruppen überwachen, die DNS-Zonen überwachen dürfen.
In der folgenden Tabelle sind die Standardgruppennamen oder -benutzernamen und die Berechtigungen für DNS-Zonen aufgeführt, die in AD DS gespeichert sind.
| Gruppen- oder Benutzernamen | Berechtigungen |
|---|---|
|
Administratoren |
Zulassen: Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Spezielle Berechtigungen |
|
Authentifizierte Benutzer |
Zulassen: Alle untergeordneten Objekte erstellen |
|
Ersteller-Besitzer |
Spezielle Berechtigungen |
|
DnsAdmins |
Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen, Spezielle Berechtigungen |
|
Domänen-Admins |
Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen |
|
Organisations-Admins |
Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen |
|
Unternehmensdomänencontroller |
Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen, Spezielle Berechtigungen |
|
Jeder |
Zulassen: Lesen, Spezielle Berechtigungen |
|
Prä-Windows 2000 kompatibler Zugriff |
Zulassen: Spezielle Berechtigungen |
|
System |
Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen |
Weitere Informationen finden Sie unter Ändern der Sicherheit für eine Directory-integrierte Zone.
Der DNS-Serverdienst, der auf einem Domänencontroller ausgeführt wird, dessen Zonen in AD DS gespeichert sind, speichert seine Zonendaten mithilfe von Active Directory-Objekten und -Attributen in AD DS. Das Konfigurieren der DACL für das Active Directory-DNS-Objekt hat dieselbe Wirkung wie das Konfigurieren der DACL für die DNS-Zonen im DNS-Manager. Daher sollten die Sicherheitsadministratoren für Active Directory-Objekte und die Sicherheitsadministratoren für DNS-Daten miteinander in direktem Kontakt stehen, um sicherzustellen, dass keiner die Sicherheitseinstellungen des Anderen umkehrt.
In der folgenden Tabelle werden die Active Directory-Objekte und -Attribute beschrieben, die von DNS-Zonendaten verwendet werden.
| Objekt | Beschreibung |
|---|---|
|
DnsZone |
Dieser Container wird erstellt, wenn eine Zone in AD DS gespeichert wird. |
|
DnsNode |
Dieses Endknotenobjekt wird für die Zuordnung eines Namens zu Ressourcendaten in der Zone verwendet. |
|
DnsRecord |
Dieses Mehrfachwertattribut eines dnsNode-Objekts wird zur Speicherung der Ressourceneinträge verwendet, die mit dem benannten Knotenobjekt verknüpft sind. |
|
DnsProperty |
Dieses Mehrfachwertattribut eines dnsZone-Objekts wird zur Speicherung von Konfigurationsinformationen verwendet. |
Beschränken von Zonenübertragungen
Der DNS-Serverdienst gestattet die Übertragung von Zoneninformationen standardmäßig nur für Server, die in den Namenserver-Ressourceneinträgen (NS) einer Zone aufgeführt sind. Dies ist eine sichere Konfiguration. Zur Erhöhung der Sicherheit sollte diese Einstellung jedoch so geändert werden, dass Zonenübertragungen an bestimmte IP-Adressen zulässig sind. Wenn Sie diese Einstellung so ändern, dass Zonenübertragungen an alle Server zulässig sind, erhalten Angreifer möglicherweise Zugriff auf Ihre DNS-Daten und können versuchen, Ihr Netzwerk mittels Footprinting zu untersuchen.
Weitere Informationen finden Sie unter Ändern der Einstellungen für die Zonenübertragung.
Kompromisse bei der Zonendelegierung
Bei der Entscheidung, ob DNS-Domänennamen an Zonen delegiert werden sollen, deren Hosts separat verwaltete DNS-Server darstellen, sollten Sie unbedingt bedenken, welche Auswirkungen es auf die Sicherheit hat, wenn mehrere Personen in der Lage sind, die DNS-Daten für Ihr Netzwerk zu verwalten. Bei der DNS-Zonendelegierung wird ein Kompromiss zwischen den Sicherheitsvorteilen, die sich aus der Verwendung eines einzelnen autorisierenden DNS-Servers für alle DNS-Daten ergeben, und den Verwaltungsvorteilen, die durch die Aufteilung der Verantwortung für Ihren DNS-Namespace auf verschiedene Administratoren entstehen, geschlossen. Dieser Aspekt ist sehr wichtig, wenn Sie die höchsten Domänen eines privaten DNS-Namespace delegieren, da diese Domänen sehr vertrauliche DNS-Daten enthalten.
Weitere Informationen finden Sie unter Grundlegendes zur Zonendelegierung.
Wiederherstellen von DNS-Zonendaten
Wenn Ihre DNS-Daten beschädigt sind, können Sie Ihre DNS-Zonendatei aus dem Sicherungsordner wiederherstellen, der sich im Ordner %systemroot%/DNS/Backup befindet. Wenn eine Zone erstellt wird, wird dem Sicherungsordner eine Kopie der Zone hinzugefügt. Zur Wiederherstellung der Zone können Sie die originale Zonendatei aus dem Sicherungsordner in den Ordner %systemroot%/DNS kopieren. Wenn Sie den Assistenten zum Erstellen neuer Zonen für die Erstellung einer Zone verwenden, geben Sie die Zonendatei im Ordner %systemroot%/DNS als Zonendatei für die neue Zone an. Weitere Informationen finden Sie unter Hinzufügen einer Forward-Lookupzone.
Dieser Vorgang gilt nur für Standardzonen, die nicht in AD DS gespeichert sind.
Weitere Informationen finden Sie unter Sicherheitsinformationen für DNS.