インターネットと接続するドメイン ネーム システム (DNS) サーバーでは特に、DNS インフラストラクチャが、組織の外 (または内部) からの攻撃から守られていることが重要です。Active Directory ドメイン サービス (AD DS) と統合された DNS サーバーは、セキュリティで保護された動的更新を使用して DNS データが許可なく変更されないように構成することができます。DNS インフラストラクチャの安全性を侵害するような行為が起こるリスクを減らすため、さらに別の対策もあります。

タスク 参照先

使用している環境に対して最も影響の大きい DNS セキュリティの脅威を見極め、必要なセキュリティ レベルを判断します。

DNS のセキュリティ情報

社外の人が内部のネットワーク情報を取得できないようにするには、内部の名前解決とインターネットの名前解決に別々の DNS サーバーを使用します。内部の DNS 名前空間は、社内ネットワークのファイアウォールの背後に配置した DNS サーバー上でホストするようにします。外部のインターネット DNS は、境界ネットワークの DNS サーバーで管理します。内部ホスト向けにインターネットの名前解決を行うには、内部 DNS サーバーをフォワーダーとして使用し、外部 DNS サーバーに外部クエリを送信します。内部 DNS サーバーと外部 DNS サーバーとの間の DNS トラフィックのみを許可するように外部ルーターとファイアウォールを構成します。

フォワーダーとは

フォワーダーを使用する

ネットワークからインターネットに公開されている DNS サーバーについては、ゾーン転送が有効な場合、ゾーン内でネーム サーバー (NS) リソース レコードによって識別される DNS サーバー、またはネットワーク内の特定の DNS サーバーのみに DNS ゾーン転送を制限します。

ゾーン転送設定を変更する

DNS サーバー サービスを実行しているサーバーがマルチホーム コンピューターの場合は、その DNS クライアントと内部サーバーが使用するインターフェイス IP アドレス上のみでリッスンするように DNS サーバー サービスを制限します。たとえば、プロキシ サーバーとして機能するサーバーにイントラネット用とインターネット用の 2 種類のネットワーク アダプターが搭載されているとします。このサーバーで DNS サーバー サービスも実行する場合は、イントラネット ネットワーク アダプターが使用する IP アドレスでのみ DNS トラフィックをリッスンするように DNS サーバー サービスを構成します。

マルチホーム サーバーを構成する

選択されたアドレスだけをリッスンするように DNS サーバーを制限する

すべての DNS サーバーのキャッシュを名前の汚染からセキュリティで保護するための、既定のサーバー オプションが変更されていないことを確認します。DNS クエリの応答に許可されていないデータまたは悪意のあるデータが含まれている場合に名前の汚染が起きます。

サーバー キャッシュを名前の汚染から保護する

すべての DNS ゾーンについて、セキュリティで保護された動的更新のみを許可します。これにより、許可されたユーザーのみがセキュリティで保護された方法で DNS の更新を送信できるため、信頼されたホストの IP アドレスが攻撃者によって盗まれないようにできます。

動的更新とは

セキュリティで保護された動的更新のみを許可する

DNS クライアントに直接応答せず、フォワーダーを使用するように構成されていない DNS サーバーの再帰を無効にします。DNS サーバーは、DNS クライアントからの再帰クエリに応答する場合、またはフォワーダーを使用するように構成されている場合のみ再帰を必要とします。DNS サーバーは、反復クエリを使って互いに通信します。

DNS サーバーで再帰を無効にする

プライベートな内部 DNS 名前空間を使用している場合、インターネット ルート ドメインをホストしている DNS サーバーではなく、内部ルート ドメインをホストしている DNS サーバーのみを指すように内部 DNS サーバーのルート ヒントを構成します。

ルート ヒントを更新する

DNS サーバーに関するルート ヒントを更新する

DNS サーバー サービスを実行するサーバーがドメイン コントローラーの場合は、Active Directory のアクセス制御リスト (ACL) を使用して、DNS サーバー サービスのアクセス制御をセキュリティで保護します。

ドメイン コントローラー上の DNS サーバー サービスのセキュリティを変更する

AD DS 統合の DNS ゾーンのみを使用します。AD DS に格納された DNS ゾーンは、Active Directory のセキュリティ機能を利用できます。たとえば、セキュリティで保護された動的更新や、DNS サーバー、ゾーン、リソース レコードに対する AD DS のセキュリティ設定の適用などの機能を利用できます。

DNS ゾーンが AD DS に格納されていない場合は、DNS ゾーン ファイルまたはゾーン ファイルが保存されているフォルダーのアクセス許可を変更することによって DNS ゾーン ファイルをセキュリティで保護します。ゾーン ファイルまたはフォルダーについては、System グループにのみフル コントロールのアクセス許可を設定します。既定では、ゾーン ファイルは %systemroot%\System32\Dns フォルダーに保存されます。

Active Directory ドメイン サービスの統合とは

DNS サーバーを Active Directory ドメイン サービスで使用するように構成する


目次