A következő szakaszokban bemutatott DNS-zónakonfigurációs lehetőségek befolyásolják mind a szokásos, mind az Active Directoryba integrált DNS-zónák biztonságát.

Biztonságos dinamikus frissítések konfigurálása

Alapértelmezés szerint a Dinamikus frissítések beállítás nem engedélyezi a dinamikus frissítéseket. Ez a legbiztonságosabb opció, mivel megakadályozza, hogy a támadó frissítse a DNS-zónákat. Azonban ez a beállítás megakadályozza, hogy kihasználja a dinamikus frissítések által nyújtott felügyeleti előnyöket. A DNS-adatok biztonságosabb frissítéséhez tárolja a DNS-zónákat az Active Directory tartományi szolgáltatásokban, és használja a biztonságos dinamikus frissítések szolgáltatást. A biztonságos dinamikus frissítések csak a hitelesített, valamint az ahhoz az Active Directory tartományhoz tartozó számítógépek között végrehajtott DNS-zónafrissítéseket engedélyezik, amelyhez a DNS-kiszolgáló is tartozik. Ezen felül a frissítéseknek meg kell felelniük a konkrét biztonsági beállításoknak, amelyek a DNS-zónához tartozó hozzáférés-vezérlési listában (ACL) vannak megadva.

További információt a Csak biztonságos dinamikus frissítések engedélyezése című témakörben talál.

Az Active Directory tartományi szolgáltatásokban tárolt DNS-zónák tulajdonosi hozzáférés-vezérlési listáinak (DACL) kezelése

A tulajdonosi hozzáférési-szabályozási listával kezelheti azon Active Directory-felhasználók és -csoportok engedélyeit, amelyek vezérelhetik a DNS-zónákat.

A következő táblázat tartalmazza azokat az alapértelmezett csoport-, illetve felhasználóneveket, valamint a DNS-zónákhoz kapcsolódó engedélyeket, amelyek az Active Directory tartományi szolgáltatásokban vannak tárolva.

Csoport vagy felhasználó neve Engedélyek

Rendszergazdák

Engedélyezés: Olvasás, Írás, Az összes gyermekobjektum létrehozása, Speciális engedélyek

Hitelesített felhasználók

Engedélyezés: Az összes gyermekobjektum létrehozása

Létrehozó tulajdonos

Speciális engedélyek

DNS-gazdák

Engedélyezés: Teljes hozzáférés, Olvasás, Írás, Az összes gyermekobjektum létrehozása, Gyermekobjektumok törlése, Speciális engedélyek

Tartománygazdák

Engedélyezés: Teljes hozzáférés, Olvasás, Írás, Az összes gyermekobjektum létrehozása, Gyermekobjektumok törlése

Vállalati rendszergazdák

Engedélyezés: Teljes hozzáférés, Olvasás, Írás, Az összes gyermekobjektum létrehozása, Gyermekobjektumok törlése

Vállalati tartományvezérlők

Engedélyezés: Teljes hozzáférés, Olvasás, Írás, Az összes gyermekobjektum létrehozása, Gyermekobjektumok törlése, Speciális engedélyek

Mindenki

Engedélyezés: Olvasás, Speciális engedélyek

Windows 2000 előtti rendszerrel kompatibilis hozzáférés

Engedélyezés: Speciális engedélyek

Rendszer

Engedélyezés: Teljes hozzáférés, Olvasás, Írás, Az összes gyermekobjektum létrehozása, Gyermekobjektumok törlése

További információt az Active Directoryba integrált zóna biztonságának módosítása című témakörben talál.

A zónákat az Active Directory tartományi szolgáltatásokban tároló tartományvezérlőn futó DNS-kiszolgálószolgáltatás a zónaadatokat Active Directory-objektumokkal és -attribútumokkal, az Active Directory tartományi szolgáltatásokban tárolja. A DACL beállítása a DNS Active Directory-objektumokra ugyanazt eredményezi, mint a DACL DNS-zónákra konfigurálása a DNS-kezelőben. Emiatt az Active Directory-objektumok biztonságért felelős rendszergazdái és a DNS-adatok biztonságért felelős rendszergazdái közvetlen kapcsolatban kell, hogy legyenek. Így biztosíthatják, hogy nem állítják át egymás biztonsági beállításait.

A következő táblázat tartalmazza a DNS-zónaadatok által használt Active Directory-objektumokat és -attribútumokat.

Objektum Leírás

DnsZone

Ez a tároló akkor jön létre, ha egy zóna az Active Directory tartományi szolgáltatásokban van tárolva.

DnsNode

Ezzel a levélobjektummal a rendszer egy nevet képez le és társít erőforrásadatokhoz.

DnsRecord

Egy dnsNode objektum ezen többértékű attribútumával a rendszer azokat az erőforrásrekordokat tárolja, amelyeket a megnevezett csomópontobjektummal társít.

DnsProperty

Egy dnsZone objektum ezen többértékű attribútumában a rendszer zónakonfigurációs információkat tárol.

Zónaletöltések korlátozása

Alapértelmezés szerint a DNS-kiszolgálószolgáltatás csak olyan kiszolgálók felé engedélyez zónainformáció-letöltést, amelyek fel vannak sorolva a zónához tartozó névkiszolgáló (NS) típusú erőforrásrekordokban. Ez egy biztonságos konfiguráció, de még nagyobb biztonság eléréséhez ezt a beállítást át kell állítani úgy, hogy a zónaletöltést csak megadott IP-címek felé engedélyezze. Ha ezt a beállítást átállítja úgy, hogy bármilyen kiszolgálónak engedélyezzen zónaletöltést, lehetővé teszi a támadók számára, hogy megpróbáljanak hozzáférni a DNS-adatokhoz, és ezáltal feltérképezzék a hálózatot.

További információt a Zónaletöltési beállítások módosítása című témakörben talál.

A zónadelegálás kockázatai – áttekintés

Amikor arról dönt, hogy delegáljon-e DNS-tartományneveket olyan DNS-kiszolgálókon tárolt zónákhoz, amelyeket külön felügyelnek, figyelembe kell vennie, milyen biztonsági kockázatokkal jár, ha több személynek ad lehetőséget a hálózati DNS-adatok felügyeletére. A DNS-zónadelegálás során kompromisszumot kell találni, mivel biztonsági szempontból egyetlen mérvadó, minden DNS-adatot kezelő DNS-kiszolgáló használata előnyös, viszont felügyeleti szempontból az az előnyös, ha szétosztja a DNS-névtér feletti felelősséget különböző rendszergazdák között. Erre a kérdésre kifejezetten akkor kell odafigyelni, amikor egy magánjellegű DNS-névtérhez tartozó legfelsőbb szintű tartományneveket (TLD) delegál, mivel ezek a tartományok nagyon érzékeny DNS-adatokat tartalmaznak.

További információt A zónadelegálás ismertetése című témakörben talál.

DNS-zónaadatok visszaállítása

Ha a DNS-adatai megsérültek, visszaállíthatja a DNS-zónafájlt a biztonsági másolat mappájából, ami a %systemroot%/DNS/Backup mappában található. Amikor létrehoz egy zónát, a rendszer elmenti a zóna másolatát a biztonsági másolat mappájába. A zóna helyreállításához másolja az eredeti zónafájlt a biztonsági másolat mappájából a %systemroot%/DNS mappába. Amikor az Új zóna varázslót használja a zóna létrehozásához, a %systemroot%/DNS mappában lévő zónafájlt adja meg az új zóna zónafájljaként. További információt a Címkeresési zóna hozzáadása című témakörben talál.

Ez a művelet csak olyan hagyományos zónákra érvényes, amelyeket nem az AD DS tárol.

További információt a Biztonsági információk a DNS-hez című témakörben talál.


Tartalom