インターネットと接続するドメイン ネーム システム (DNS) サーバーでは特に、DNS インフラストラクチャが、組織の外 (または内部) からの攻撃から守られていることが重要です。Active Directory ドメイン サービス (AD DS) と統合された DNS サーバーは、セキュリティで保護された動的更新を使用して DNS データが許可なく変更されないように構成することができます。DNS インフラストラクチャの安全性を侵害するような行為が起こるリスクを減らすため、さらに別の対策もあります。
タスク | 参照先 |
---|---|
使用している環境に対して最も影響の大きい DNS セキュリティの脅威を見極め、必要なセキュリティ レベルを判断します。 |
|
社外の人が内部のネットワーク情報を取得できないようにするには、内部の名前解決とインターネットの名前解決に別々の DNS サーバーを使用します。内部の DNS 名前空間は、社内ネットワークのファイアウォールの背後に配置した DNS サーバー上でホストするようにします。外部のインターネット DNS は、境界ネットワークの DNS サーバーで管理します。内部ホスト向けにインターネットの名前解決を行うには、内部 DNS サーバーをフォワーダーとして使用し、外部 DNS サーバーに外部クエリを送信します。内部 DNS サーバーと外部 DNS サーバーとの間の DNS トラフィックのみを許可するように外部ルーターとファイアウォールを構成します。 |
|
ネットワークからインターネットに公開されている DNS サーバーについては、ゾーン転送が有効な場合、ゾーン内でネーム サーバー (NS) リソース レコードによって識別される DNS サーバー、またはネットワーク内の特定の DNS サーバーのみに DNS ゾーン転送を制限します。 |
|
DNS サーバー サービスを実行しているサーバーがマルチホーム コンピューターの場合は、その DNS クライアントと内部サーバーが使用するインターフェイス IP アドレス上のみでリッスンするように DNS サーバー サービスを制限します。たとえば、プロキシ サーバーとして機能するサーバーにイントラネット用とインターネット用の 2 種類のネットワーク アダプターが搭載されているとします。このサーバーで DNS サーバー サービスも実行する場合は、イントラネット ネットワーク アダプターが使用する IP アドレスでのみ DNS トラフィックをリッスンするように DNS サーバー サービスを構成します。 |
|
すべての DNS サーバーのキャッシュを名前の汚染からセキュリティで保護するための、既定のサーバー オプションが変更されていないことを確認します。DNS クエリの応答に許可されていないデータまたは悪意のあるデータが含まれている場合に名前の汚染が起きます。 |
|
すべての DNS ゾーンについて、セキュリティで保護された動的更新のみを許可します。これにより、許可されたユーザーのみがセキュリティで保護された方法で DNS の更新を送信できるため、信頼されたホストの IP アドレスが攻撃者によって盗まれないようにできます。 |
|
DNS クライアントに直接応答せず、フォワーダーを使用するように構成されていない DNS サーバーの再帰を無効にします。DNS サーバーは、DNS クライアントからの再帰クエリに応答する場合、またはフォワーダーを使用するように構成されている場合のみ再帰を必要とします。DNS サーバーは、反復クエリを使って互いに通信します。 |
|
プライベートな内部 DNS 名前空間を使用している場合、インターネット ルート ドメインをホストしている DNS サーバーではなく、内部ルート ドメインをホストしている DNS サーバーのみを指すように内部 DNS サーバーのルート ヒントを構成します。 |
|
DNS サーバー サービスを実行するサーバーがドメイン コントローラーの場合は、Active Directory のアクセス制御リスト (ACL) を使用して、DNS サーバー サービスのアクセス制御をセキュリティで保護します。 |
|
AD DS 統合の DNS ゾーンのみを使用します。AD DS に格納された DNS ゾーンは、Active Directory のセキュリティ機能を利用できます。たとえば、セキュリティで保護された動的更新や、DNS サーバー、ゾーン、リソース レコードに対する AD DS のセキュリティ設定の適用などの機能を利用できます。 DNS ゾーンが AD DS に格納されていない場合は、DNS ゾーン ファイルまたはゾーン ファイルが保存されているフォルダーのアクセス許可を変更することによって DNS ゾーン ファイルをセキュリティで保護します。ゾーン ファイルまたはフォルダーについては、System グループにのみフル コントロールのアクセス許可を設定します。既定では、ゾーン ファイルは %systemroot%\System32\Dns フォルダーに保存されます。 |