ネットワークのドメイン ネーム システム (DNS) サーバーをセキュリティで保護するには、次のガイドラインに従ってください。
セキュリティに影響を与える DNS サーバー サービスの既定の設定を検証および構成する
DNS サーバー サービスの次の構成オプションは、標準的な DNS サービスおよび Active Directory 統合の DNS サーバー サービスの両方のセキュリティに関係するものです。
既定の設定 | 説明 |
---|---|
インターフェイス |
既定では、マルチホーム コンピューター上で動作する DNS サーバー サービスは、そのすべての IP アドレスを使用して DNS クエリをリッスンするように構成されています。DNS サーバー サービスがリッスンする IP アドレスを、その DNS クライアントが優先 DNS サーバーとして使用している IP アドレスに制限します。 詳細については、「選択されたアドレスだけをリッスンするように DNS サーバーを制限する」を参照してください。 |
Pollution に対してセキュリティでキャッシュを保護する |
既定では、DNS サーバー サービスはキャッシュの汚染から保護されています。キャッシュの汚染は、DNS クエリの応答に権限のないデータや悪意のあるデータが含まれているときに発生します。[Pollution に対してセキュリティでキャッシュを保護する] により、攻撃者が DNS サーバーから要求されていないリソース レコードを使用して DNS サーバーのキャッシュを汚染することを防げます。この既定の設定を変更すると、DNS サーバー サービスで提供される応答の整合性が損なわれます。 詳細については、「サーバー キャッシュを名前の汚染から保護する」を参照してください。 |
再帰を使用しない |
既定では、DNS サーバー サービスの再帰は無効になっていません。これによって、DNS サーバーは、DNS クライアントおよび DNS クライアントからのクエリを転送したその他の DNS サーバーに代わって再帰クエリを実行できます。再帰は、DNS サーバー サービスをサービス拒否状態にする攻撃で利用される可能性があります。したがって、ネットワーク内の DNS サーバーが再帰クエリを受け取らないようにしたい場合は、再帰を無効にします。 詳細については、「DNS サーバーで再帰を無効にする」を参照してください。 |
ルート ヒント |
DNS インフラストラクチャに内部 DNS ルートが設定されている場合は、インターネット ルート ドメインをホストしている DNS サーバーではなく、その組織のルート ドメインをホストしている DNS サーバーのみを指すように内部 DNS サーバーのルート ヒントを構成します。これによって、内部 DNS サーバーが名前を解決する際、インターネットを介してプライベート情報を送信できなくなります。 詳細については、「DNS サーバーに関するルート ヒントを更新する」および「ルート ヒントを更新する」を参照してください。 |
ドメイン コントローラー上で動作する DNS サーバーの DACL を管理する
既に説明したセキュリティに影響を与える既定の DNS サーバー サービス設定に加え、ドメイン コントローラーとして構成された DNS サーバーは随意アクセス制御リスト (DACL) を使用します。DACL を使用すると、DNS サーバー サービスを制御する Active Directory のユーザーやグループのアクセス許可を管理できます。
次の表は、ドメイン コントローラー上で動作する DNS サーバー サービスの既定のグループ名またはユーザー名とアクセス許可を示しています。
グループ名またはユーザー名 | アクセス許可 |
---|---|
Administrators |
許可 : 読み取り、書き込み、すべての子オブジェクトの作成、特殊なアクセス許可 |
Creator Owner |
特殊なアクセス許可 |
DnsAdmins |
許可 : 読み取り、書き込み、すべての子オブジェクトの作成、子オブジェクトの削除、特殊なアクセス許可 |
Domain Admins |
許可 : フル コントロール、読み取り、書き込み、すべての子オブジェクトの作成、子オブジェクトの削除 |
Enterprise Admins |
許可 : フル コントロール、読み取り、書き込み、すべての子オブジェクトの作成、子オブジェクトの削除 |
Enterprise Domain Controllers |
許可 : 特殊なアクセス許可 |
Pre-Windows 2000 Compatible Access |
許可 : 特殊なアクセス許可 |
System |
許可 : フル コントロール、読み取り、書き込み、すべての子オブジェクトの作成、子オブジェクトの削除 |
DNS サーバー サービスをドメイン コントローラー上で実行する場合、Active Directory オブジェクト MicrosoftDNS を使用してその DACL を管理できます。MicrosoftDNS オブジェクトで DACL を構成すると、DNS マネージャーで DNS サーバーの DACL を構成した場合 (推奨方法) と同じ効果が得られます。したがって、Active Directory オブジェクトと DNS サーバーのセキュリティ管理者は互いに直接連絡しあい、それぞれのセキュリティ設定が矛盾しないようにします。
詳細については、「DNS のセキュリティ情報」を参照してください。