Les options de configuration de zone DNS (Domain Name System) dans les sections suivantes présentent des implications pour la sécurité des zones DNS standard et intégrées à Active Directory.
Configuration de mises à jour dynamiques sécurisées
Par défaut, le paramètre Mises à jour dynamiques n’est pas configuré pour autoriser les mises à jour dynamiques. Il s’agit du paramètre le plus sûr car il empêche tout agresseur de mettre à jour des zones DNS. Toutefois, il vous empêche également de tirer parti des avantages administratifs offerts par la mise à jour dynamique. Pour configurer les ordinateurs de façon à mettre à jour les données DNS de manière plus sécurisée, stockez les zones DNS dans les services de domaine Active Directory (AD DS) et utilisez la fonctionnalité de mise à jour dynamique. La mise à jour dynamique limite les mises à jour de zones DNS aux ordinateurs qui sont authentifiés et membres du domaine Active Directory dans lequel se trouve le serveur DNS et aux paramètres de sécurité spécifiques définis dans les listes de contrôle d’accès de la zone DNS.
Pour plus d’informations, voir Autoriser uniquement les mises à jour dynamiques.
Gestion de la liste DACL sur les zones DNS stockées dans les services de domaine Active Directory
Vous pouvez utiliser la liste de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List) pour contrôler les autorisations pour les utilisateurs et groupes Active Directory qui peuvent contrôler les zones DNS.
Le tableau suivant répertorie les autorisations et noms d’utilisateurs ou de groupes par défaut pour les zones DNS stockées dans les services de domaine Active Directory.
| Noms d’utilisateurs ou de groupes | Autorisations |
|---|---|
|
Administrateurs |
Autoriser : Lecture, Écriture, Créer tous les objets enfants, Autorisations spéciales |
|
Utilisateurs authentifiés |
Autoriser : Créer tous les objets enfants |
|
Créateur propriétaire |
Autorisations spéciales |
|
DnsAdmins |
Autoriser : Contrôle total, Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants, Autorisations spéciales |
|
Administrateurs du domaine |
Autoriser : Contrôle total, Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants |
|
Administrateurs de l’entreprise |
Autoriser : Contrôle total, Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants |
|
Contrôleurs de domaine Enterprise |
Autoriser : Contrôle total, Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants, Autorisations spéciales |
|
Tout le monde |
Autoriser : Lecture, Autorisations spéciales |
|
Accès compatible avec les versions antérieures de Windows 2000 |
Autoriser : Autorisations spéciales |
|
Système |
Autoriser : Contrôle total, Lecture, Écriture, Créer tous les objets enfants, Supprimer des objets enfants |
Pour plus d’informations, voir Modifier la sécurité pour une zone intégrée à Active Directory.
Un service Serveur DNS exécuté sur un contrôleur de domaine qui a des zones stockées dans les services de domaine Active Directory stocke ses données de zone dans les services de domaine Active Directory à l’aide d’objets et d’attributs Active Directory. Configurer la liste DACL sur les objets Active Directory DNS revient à configurer la liste DACL sur des zones DNS dans le Gestionnaire DNS. Par conséquent, les administrateurs de la sécurité des objets Active Directory et des données DNS doivent être en contact direct afin de s’assurer que l’un n’inverse pas les paramètres de sécurité de l’autre.
Le tableau suivant décrit les objets et attributs Active Directory utilisés par les données de zone DNS.
| Objet | Description |
|---|---|
|
DnsZone |
Ce conteneur est créé lorsqu’une zone est stockée dans les services de domaine Active Directory. |
|
DnsNode |
Cet objet feuille est utilisé pour mapper et associer un nom dans la zone à des données de ressources. |
|
DnsRecord |
Cet attribut à plusieurs valeurs d’un objet dnsNode est utilisé pour stocker les enregistrements de ressources associés à l’objet de nœud nommé. |
|
DnsProperty |
Cet attribut à plusieurs valeurs d’un objet dnsZone est utilisé pour stocker des informations de configuration de zone. |
Restriction des transferts de zone
Par défaut, le service Serveur DNS autorise le transfert des informations de zone uniquement vers les serveurs répertoriés dans les enregistrements de serveur de noms (NS) d’une zone. Il s’agit d’une configuration sécurisée, mais pour une sécurité accrue, ce paramètre doit être modifié et l’option autorisant les transferts de zone vers les adresses IP spécifiées doit être activée. La modification de ce paramètre de façon à autoriser les transferts de zone vers n’importe quel serveur peut exposer vos données DNS à une tentative de « schématisation » de votre réseau par un agresseur.
Pour plus d’informations, voir Modifier les paramètres de transfert de zone.
Compromis lié à la délégation de zone
Lorsque vous décidez s’il faut déléguer des noms de domaine DNS à des zones hébergées sur des serveurs DNS administrés séparément, vous devez prendre en compte les implications de sécurité liées au fait que vous accorderez à plusieurs utilisateurs la capacité à administrer les données DNS de votre réseau. La délégation de zone DNS implique un compromis entre les avantages pour la sécurité offerts par l’utilisation d’un serveur DNS de référence unique pour toutes les données DNS et les avantages administratifs offerts par la distribution de la responsabilité de votre espace de noms DNS à différents administrateurs. Cet aspect est très important lorsque vous déléguez des domaines de niveau supérieur d’un espace de noms DNS privé car ces domaines contiennent des données DNS très sensibles.
Pour plus d’informations, voir Présentation de la délégation de zone.
Récupération de données de zone DNS
Si vos données DNS sont endommagées, vous pouvez restaurer votre fichier de zone DNS à partir du dossier de sauvegarde, qui se trouve dans le dossier %systemroot%/DNS/Backup. Lors de la création initiale d’une zone, une copie de la zone est ajoutée au dossier de sauvegarde. Pour récupérer la zone, copiez le fichier de zone d’origine depuis le dossier de sauvegarde dans le dossier %systemroot%/DNS. Lorsque vous utilisez l’Assistant Nouvelle zone pour créer la zone, spécifiez le fichier de zone dans le dossier %systemroot%/DNS en tant que fichier de zone pour la nouvelle zone. Pour plus d’informations, voir Ajouter une zone de recherche directe.
Cette opération s’applique uniquement aux zones standard qui ne sont pas hébergées dans les services de domaine Active Directory.
Pour plus d’informations, voir Informations de sécurité pour DNS.