네트워크에서 DNS(Domain Name System) 서버를 보호하려면 다음 지침을 사용합니다.

보안에 영향을 미치는 기본 DNS 서버 서비스 설정을 검사하고 구성합니다.

다음과 같은 DNS 서버 서비스의 구성 옵션에는 표준 DNS 서버 서비스와 Active Directory 통합 DNS 서버 서비스에 대한 보안 의미가 있습니다.

기본 설정 설명

인터페이스

기본적으로 멀티홈 컴퓨터에서 실행되는 DNS 서버 서비스는 멀티홈 컴퓨터의 모든 IP 주소를 사용하여 DNS 쿼리를 수신 대기하도록 구성되어 있습니다. DNS 서버 서비스가 수신 대기하는 IP 주소를 DNS 클라이언트에서 기본 설정 DNS 서버로 사용하는 IP 주소로 제한합니다.

자세한 내용은 선택한 주소에서만 수신 대기하도록 DNS 서버 제한을 참조하십시오.

오염에 대해 캐시 보안

기본적으로 DNS 서버 서비스는 DNS 쿼리 응답에 권한이 없거나 악의적인 데이터가 포함되어 있는 경우 발생하는 캐시 오염으로부터 보호됩니다. 오염에 대해 캐시 보안 옵션을 사용하면 공격자가 DNS 서버에서 요청하지 않은 리소스 레코드로 DNS 서버의 캐시를 오염시키지 못합니다. 이 기본 설정을 변경하면 DNS 서버 서비스에서 제공하는 응답의 무결성이 줄어듭니다.

자세한 내용은 이름 오염으로부터 서버 캐시 보호를 참조하십시오.

재귀를 사용 안 함

기본적으로 DNS 서버 서비스에는 재귀를 사용할 수 없도록 설정되어 있습니다. 재귀를 사용할 수 있도록 설정하면 DNS 서버가 DNS 클라이언트 쿼리를 전달한 DNS 서버와 DNS 클라이언트 대신 재귀 쿼리를 수행할 수 있습니다. 공격자가 재귀를 사용하여 DNS 서버 서비스를 거부할 수 있으므로 네트워크의 DNS 서버가 재귀 쿼리를 수신하지 않으려면 재귀를 사용할 수 없도록 설정해야 합니다.

자세한 내용은 DNS 서버에서 재귀를 사용할 수 없도록 설정을 참조하십시오.

루트 힌트

DNS 인프라에 내부 DNS 루트가 있으면 인터넷 루트 도메인을 호스트하는 DNS 서버가 아닌 사용자의 루트 도메인을 호스트하는 DNS 서버만 가리키도록 내부 DNS 서버의 루트 힌트를 구성합니다. 그러면 내부 DNS 서버가 이름을 확인할 때 인터넷을 통해 개인 정보를 보낼 수 없습니다.

자세한 내용은 DNS 서버에서 루트 힌트 업데이트루트 힌트 업데이트를 참조하십시오.

도메인 컨트롤러에서 실행되는 DNS 서버의 DACL을 관리합니다.

도메인 컨트롤러로 구성된 DNS 서버는 위에서 설명한 보안에 영향을 주는 기본 DNS 서버 서비스 설정뿐 아니라 DACL(임의 액세스 제어 목록)을 사용합니다. DACL을 사용하여 DNS 서버 서비스를 제어하는 Active Directory 사용자와 그룹에 대한 사용 권한을 제어할 수 있습니다.

다음 표에는 도메인 컨트롤러에서 실행되는 DNS 서버 서비스에 대한 기본 그룹 또는 사용자 이름과 사용 권한이 나열되어 있습니다.

그룹 또는 사용자 이름 사용 권한

Administrators

허용: 읽기, 쓰기, 모든 자식 개체 만들기, 특정 권한

만든 소유자

특정 권한

DnsAdmins

허용: 읽기, 쓰기, 모든 자식 개체 만들기, 자식 개체 삭제, 특정 권한

Domain Admins

허용: 모든 권한, 읽기, 쓰기, 모든 자식 개체 만들기, 자식 개체 삭제

Enterprise Admins

허용: 모든 권한, 읽기, 쓰기, 모든 자식 개체 만들기, 자식 개체 삭제

Enterprise Domain Controllers

허용: 특정 권한

Windows 2000 이전 버전 호환 액세스

허용: 특정 권한

System

허용: 모든 권한, 읽기, 쓰기, 모든 자식 개체 만들기, 자식 개체 삭제

DNS 서버 서비스가 도메인 컨트롤러에서 실행되면 Active Directory 개체 MicrosoftDNS를 사용하여 DACL을 관리할 수 있습니다. MicrosoftDNS 개체에서 DACL을 구성하면 권장되는 방법인 DNS 관리자에서 DNS 서버의 DACL을 구성하는 것과 같은 효과가 있습니다. 따라서 DNS 서버와 Active Directory 개체의 보안 관리자가 서로의 보안 설정을 바꾸지 않도록 직접 연락할 수 있어야 합니다.

자세한 내용은 DNS에 대한 보안 정보를 참조하십시오.


목차