Le opzioni di configurazione delle zone DNS (Domain Name System) descritte nelle sezioni seguenti hanno implicazioni relative alla sicurezza sia per le zone DNS standard che per quelle integrate in Active Directory.
Configurare gli aggiornamenti dinamici sicuri
Per impostazione predefinita, l'opzione Aggiornamenti dinamici è configurata in modo da non consentire questo tipo di aggiornamenti. In tal modo infatti si garantisce una maggiore sicurezza, impedendo all'autore di un eventuale attacco di aggiornare le zone DNS. Si impedisce tuttavia anche di usufruire dei vantaggi amministrativi offerti dagli aggiornamenti dinamici. Per configurare i computer per aggiornare i dati DNS in modo più sicuro, archiviare le zone DNS in Servizi di dominio Active Directory e utilizzare la funzionalità di aggiornamento dinamico sicuro. Gli aggiornamenti dinamici sicuri limitano gli aggiornamenti delle zone DNS esclusivamente ai computer autenticati e aggiunti al dominio Active Directory in cui si trova il server DNS e alle specifiche impostazioni di sicurezza definite negli elenchi di controllo di accesso (ACL) della zona DNS.
Per ulteriori informazioni, vedere Consentire solo gli aggiornamenti dinamici sicuri.
Gestire l'elenco DACL nelle zone DNS archiviate in Servizi di dominio Active Directory
L'elenco di controllo di accesso discrezionale (DACL, Discretionary Access Control List) può essere utilizzato per definire le autorizzazioni per gli utenti e i gruppi di Active Directory che possono controllare le zone DNS.
Nella tabella seguente vengono elencati i nomi dei gruppi o degli utenti e le autorizzazioni predefiniti per le zone DNS archiviate in Servizi di dominio Active Directory.
| Nomi di gruppi o di utenti | Autorizzazioni |
|---|---|
|
Administrators |
Consentite: Lettura, Scrittura, Crea tutti gli oggetti figlio, Autorizzazioni di accesso speciali |
|
Authenticated Users |
Consentite: Crea tutti gli oggetti figlio |
|
Creator Owner |
Autorizzazioni di accesso speciali |
|
DnsAdmins |
Consentite: Controllo completo, Lettura, Scrittura, Crea tutti gli oggetti figlio, Elimina oggetti figli, Autorizzazioni di accesso speciali |
|
Domain Admins |
Consentite: Controllo completo, Lettura, Scrittura, Crea tutti gli oggetti figlio, Elimina oggetti figli |
|
Enterprise Admins |
Consentite: Controllo completo, Lettura, Scrittura, Crea tutti gli oggetti figlio, Elimina oggetti figli |
|
Controller di dominio organizzazione |
Consentite: Controllo completo, Lettura, Scrittura, Crea tutti gli oggetti figlio, Elimina oggetti figli, Autorizzazioni di accesso speciali |
|
Everyone |
Consentite: Lettura, Autorizzazioni di accesso speciali |
|
Accesso compatibile precedente a Windows 2000 |
Consentite: Autorizzazioni di accesso speciali |
|
System |
Consentite: Controllo completo, Lettura, Scrittura, Crea tutti gli oggetti figlio, Elimina oggetti figli |
Per ulteriori informazioni, vedere Modificare la sicurezza per una zona integrata in Active Directory.
Il servizio Server DNS in esecuzione in un controller di dominio con zone archiviate in Servizi di dominio Active Directory archivia i dati delle zone in Servizi di dominio Active Directory utilizzando oggetti e attributi di Active Directory. Configurare l'elenco DACL negli oggetti DNS di Active Directory equivale a configurarlo nelle zone DNS in Gestore DNS. È consigliabile pertanto che gli amministratori della sicurezza degli oggetti di Active Directory e dei dati DNS rimangano in contatto diretto per evitare di annullarsi reciprocamente le impostazioni di sicurezza effettuate.
Nella tabella seguente vengono descritti gli oggetti e gli attributi di Active Directory utilizzati dai dati delle zone DNS.
| Oggetto | Descrizione |
|---|---|
|
DnsZone |
Questo contenitore viene creato quando una zona viene archiviata in Servizi di dominio Active Directory. |
|
DnsNode |
Questo oggetto foglia viene utilizzato per mappare e associare un nome nella zona a dati di risorse. |
|
DnsRecord |
Questo attributo multivalore di un oggetto dnsNode viene utilizzato per archiviare i record di risorse che sono associati all'oggetto nodo indicato. |
|
DnsProperty |
Questo attributo multivalore di un oggetto dnsZone viene utilizzato per archiviare informazioni sulla configurazione delle zone. |
Limitare i trasferimenti di zona
Per impostazione predefinita, il servizio Server DNS consente il trasferimento delle informazioni delle zone solo per i server elencati nei record di risorse server dei nomi (NS) di una zona. Questa è una configurazione sicura, ma per garantire una sicurezza maggiore è consigliabile impostarla in modo da consentire i trasferimenti di zona solo per gli indirizzi IP specificati. Se si modifica questa impostazione consentendo i trasferimenti di zona per qualsiasi server si rischia di esporre i dati DNS a un tentativo di footprinting della rete da parte di un malintenzionato.
Per ulteriori informazioni, vedere Modificare le impostazioni dei trasferimenti di zona.
Comprendere le implicazioni associate alla delega di una zona
Quando si valuta se delegare i nomi di dominio DNS a zone ospitate in server DNS amministrati separatamente, è importante tenere conto delle implicazioni relative alla sicurezza che derivano dal consentire a più individui di amministrare i dati DNS della rete. La delega di una zona DNS implica un compromesso tra i vantaggi che si otterrebbero in termini di sicurezza avendo un solo server DNS autorevole per tutti i dati DNS e i vantaggi amministrativi che si otterrebbero distribuendo la responsabilità dello spazio dei nomi DNS tra più amministratori. Questo aspetto diventa più evidente quando si delegano i domini di primo livello di uno spazio dei nomi DNS privato, poiché in tali domini sono contenuti dati DNS critici.
Per ulteriori informazioni, vedere Informazioni sulla delega delle zone.
Ripristinare i dati di una zona DNS
Se i dati DNS si danneggiano, è possibile ripristinare il file di zona DNS dalla cartella di backup contenuta in %systemroot%/DNS/Backup. Quando viene creata una zona, ne viene aggiunta una copia nella cartella di backup. Per ripristinare la zona, copiare il file di zona originale dalla cartella di backup nella cartella %systemroot%/DNS. Quando si utilizza la Creazione guidata nuova zona per creare la zona, specificare il file di zona contenuto nella cartella %systemroot%/DNS come file di zona per la nuova zona. Per ulteriori informazioni, vedere Aggiungere una zona di ricerca diretta.
Questa operazione si applica solo alle zone standard non archiviate in Servizi di dominio Active Directory.
Per ulteriori informazioni, vedere Informazioni sulla sicurezza per il DNS.