Pour aider à sécuriser les serveurs DNS (Domain Name System) de votre réseau, appliquez les directives suivantes.
Examinez et configurez les paramètres par défaut du service Serveur DNS qui affectent la sécurité
Les options de configuration suivantes du service Serveur DNS ont des implications pour la sécurité du service Serveur DNS standard et intégré à Active Directory.
Paramètre par défaut | Description |
---|---|
Interfaces |
Par défaut, un service Serveur DNS qui s’exécute sur un ordinateur multirésident est configuré de façon à écouter les requêtes DNS avec toutes ses adresses IP. Limitez les adresses IP écoutées par le service Serveur DNS à celle utilisée par ses clients DNS comme adresse de serveur DNS préféré. Pour plus d’informations, voir Limiter un serveur DNS de façon à écouter uniquement des adresses sélectionnées. |
Sécuriser le cache contre la pollution |
Par défaut, le service Serveur DNS est sécurisé contre la pollution du cache, qui se produit lorsque des réponses à des requêtes DNS contiennent des données malveillantes ou ne faisant pas autorité. L’option Sécuriser le cache contre la pollution aide à empêcher un agresseur de polluer le cache d’un serveur DNS avec des enregistrements de ressources qui n’ont pas été demandés par le serveur DNS. La modification de ce paramètre par défaut réduit l’intégrité des réponses fournies par le service Serveur DNS. Pour plus d’informations, voir Sécuriser le cache de serveur contre la pollution des noms. |
Désactiver la récursivité |
Par défaut, la récursivité n’est pas désactivée pour le service Serveur DNS. Cela permet au serveur DNS d’effectuer des requêtes récursives pour le compte de ses clients DNS et des serveurs DNS qui lui ont transféré des requêtes de clients DNS. La récursivité peut être utilisée par des agresseurs à des fins de déni de service Serveur DNS. Par conséquent, si un serveur DNS de votre réseau n’est pas destiné à recevoir des requêtes récursives, la récursivité doit être désactivée. Pour plus d’informations, voir Désactiver la récursivité sur le serveur DNS. |
Indications de racine |
Si vous avez une racine DNS interne dans votre infrastructure DNS, configurez les indications de racine des serveurs DNS internes de sorte qu’elles pointent uniquement vers les serveurs DNS qui hébergent votre domaine racine, et non vers ceux qui hébergent le domaine racine Internet. Cela empêche vos serveurs DNS internes d’envoyer des informations privées sur Internet lorsqu’ils résolvent des noms. Pour plus d’informations, voir Mettre à jour des indications de racine sur le serveur DNS et Mise à jour des indications de racine. |
Gérez la liste DACL sur les serveurs DNS exécutés sur des contrôleurs de domaine
Outre les paramètres par défaut de service Serveur DNS déjà décrits et affectant la sécurité, les serveurs DNS qui sont configurés comme contrôleurs de domaine utilisent une liste de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List). Vous pouvez utiliser la liste DACL pour contrôler les autorisations pour les utilisateurs et groupes Active Directory qui contrôlent le service Serveur DNS.
Le tableau suivant répertorie les autorisations et noms d’utilisateurs ou de groupes par défaut pour le service Serveur DNS lorsqu’il s’exécute sur un contrôleur de domaine.
Noms d’utilisateurs ou de groupes | Autorisations |
---|---|
Administrateurs |
Autoriser : Lecture, Écriture, Créer tous les objets enfants, Autorisations spéciales |
Créateur propriétaire |
Autorisations spéciales |
DnsAdmins |
Autoriser : Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants, Autorisations spéciales |
Administrateurs du domaine |
Autoriser : Contrôle total, Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants |
Administrateurs de l’entreprise |
Autoriser : Contrôle total, Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants |
Contrôleurs de domaine Enterprise |
Autoriser : Autorisations spéciales |
Accès compatible avec les versions antérieures de Windows 2000 |
Autoriser : Autorisations spéciales |
Système |
Autoriser : Contrôle total, Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants |
Lorsque le service Serveur DNS s’exécute sur un contrôleur de domaine, vous pouvez gérer sa liste DACL à l’aide de l’objet Active Directory MicrosoftDNS. Configurer la liste DACL sur l’objet MicrosoftDNS revient à configurer la liste DACL sur le serveur DNS dans le Gestionnaire DNS, qui constitue la méthode recommandée. Par conséquent, les administrateurs de la sécurité des objets Active Directory et des serveurs DNS doivent être en contact direct afin de s’assurer que l’un n’inverse pas les paramètres de sécurité de l’autre.
Pour plus d’informations, voir Informations de sécurité pour DNS.