Para contribuir a proteger los servidores del Sistema de nombres de dominio (DNS) de la red, siga estas directrices.
Examen y configuración de los parámetros que afecten a la seguridad del servicio Servidor DNS predeterminado
Las siguientes opciones de configuración para el servicio Servidor DNS tienen implicaciones de seguridad para el servicio estándar y el servicio Servidor DNS integrado en Active Directory.
Configuración predeterminada | Descripción |
---|---|
Interfaces |
De forma predeterminada, un servicio Servidor DNS que se ejecuta en un equipo con varios hosts está configurado para escuchar las consultas de DNS usando todas sus direcciones IP. Limite las direcciones IP que el servicio Servidor DNS escucha en la dirección IP que sus clientes usan como servidor DNS preferido. Para obtener más información, vea Restricción de un servidor DNS para que sólo escuche en direcciones seleccionadas. |
Asegurar caché contra corrupción |
De forma predeterminada, el servicio Servidor DNS está protegido de la corrupción de la caché, que se produce cuando las respuestas de las consultas DNS contienen datos malintencionados o no autoritativos. La opción Asegurar caché contra corrupción impide que un atacante consiga dañar la caché de un servidor DNS con registros de recursos no solicitados por el Servidor DNS. El cambio de esta configuración predeterminada reduce la integridad de las respuestas proporcionadas por el servicio Servidor DNS. Para obtener más información, vea Protección de la caché de servidores contra la corrupción de nombres. |
Deshabilitar recursividad |
De forma predeterminada, la recursividad no está deshabilitada para el servicio Servidor DNS. Esto permite que el servidor DNS realice consultas recursivas en nombre de sus clientes DNS y los servidores DNS que le han redirigido las consultas DNS del cliente. Los atacantes pueden usar la recursividad para denegar el servicio Servidor DNS. Por lo tanto, si un servidor DNS de la red no está pensado para recibir consultas recursivas, debe deshabilitarse. Para obtener más información, vea Deshabilitación de la recursión en el servidor DNS |
Sugerencias de raíz |
Si tiene una raíz de DNS interna en su infraestructura de DNS, configure las sugerencias de raíz de los servidores DNS internos para que apunten sólo a los servidores DNS que hospedan el dominio raíz y no a los servidores DNS que hospedan el dominio raíz de Internet. Esto impide que los servidores DNS internos envíen información privada a través de Internet cuando resuelven nombres. Para obtener más información, vea Actualización de sugerencias de raíz en el servidor DNS y Actualización de sugerencias de raíz. |
Administrar DACL en servidores DNS que se ejecutan en controladores de dominio
Además de la configuración predeterminada del servicio Servidor DNS ya descrita que afecta a la seguridad, los servidores DNS que están configurados como controladores de dominio usan una lista de control de acceso discrecional (DACL). Puede usar DACL para controlar los permisos para los grupos y usuarios de Active Directory que controlan el servicio Servidor DNS.
En la siguiente tabla se muestran los nombres de usuario o grupo y los permisos predeterminados para el servicio Servidor DNS cuando se ejecuta en un controlador de dominio.
Nombres de grupos o usuarios | Permisos |
---|---|
Administradores |
Permitir: Leer, Escribir, Crear todos los objetos secundarios, Permisos especiales |
Creator Owner |
Permisos especiales |
DnsAdmins |
Permitir: Leer, Escribir, Crear todos los objetos secundarios, Eliminar objetos secundarios, Permisos especiales |
Administradores del dominio |
Permitir: Control total, Leer, Escribir, Crear todos los objetos secundarios, Eliminar objetos secundarios |
Administradores de organización |
Permitir: Control total, Lectura, Escritura, Crear todos los objetos secundarios, Eliminar objetos secundarios |
Controladores de dominio empresariales |
Permitir: Permisos especiales |
Acceso compatible anterior a Windows 2000 |
Permitir: Permisos especiales |
Sistema |
Permitir: Control total, Lectura, Escritura, Crear todos los objetos secundarios, Eliminar objetos secundarios |
Cuando el servicio Servidor DNS se ejecuta en un controlador de dominio, puede administrar su DACL con el objeto MicrosoftDNS de Active Directory. Configurar DACL en el objeto MicrosoftDNS tiene el mismo efecto que configurar DACL en el servidor DNS del Administrador de DNS, que es el método recomendado. En consecuencia, los administradores de seguridad de los objetos de Active Directory y los servidores DNS deben estar en contacto directo para garantizar que un administrador no cambie la configuración de seguridad establecida por otro administrador.
Para obtener más información, vea Información de seguridad para DNS.