Hanteer de volgende richtlijnen bij het beveiligen van de DNS-servers (Domain Name System) in uw netwerk.
Controleer en configureer de standaardinstellingen voor de DNS Server-service die van invloed zijn op de beveiliging
De volgende configuratieopties voor de DNS Server-service hebben invloed op de beveiliging van de standaard DNS Server-service en de service als deze is geïntegreerd met Active Directory.
| Standaardinstelling | Beschrijving |
|---|---|
|
Interfaces |
Een DNS Server-service die op een multihomed computer wordt uitgevoerd, wordt standaard geconfigureerd voor het afluisteren van alle IP-adressen voor DNS-query's. U dient de IP-adressen die door de DNS Server-service worden afgeluisterd, te beperken tot het IP-adres dat door de DNS-clients als voorkeurs-DNS-server wordt gebruikt. Zie Ervoor zorgen dat een DNS-server alleen op de geselecteerde adressen luistert voor meer informatie. |
|
Cache beveiligen tegen vervuiling |
De DNS Server-service is standaard beveiligd tegen cachevervuiling. Deze vervuiling ontstaat wanneer antwoorden op DNS-query's niet-bevoegde of schadelijke gegevens bevatten. De optie Cache beveiligen tegen vervuiling voorkomt dat een onbevoegde de cache van een DNS-server kan vervuilen met bronrecords die niet zijn aangevraagd door de DNS-server. Het aanpassen van deze standaardinstelling heeft tot gevolg dat de integriteit van de antwoorden van de DNS Server-service afneemt. Zie De servercache beveiligen tegen naamvervuiling voor meer informatie. |
|
Recursie uitschakelen |
Recursie is standaard niet uitgeschakeld voor de DNS Server-service. Dit betekent dat de DNS-server recursieve query's kan uitvoeren voor DNS-clients en voor DNS-servers die query's van DNS-clients naar de DNS-server hebben doorgestuurd. Recursie kan worden gebruikt door aanvallers om de DNS Server-service uit te schakelen (denial-of-service). Recursie moet daarom worden uitgeschakeld als het niet gewenst is dat een DNS-server in het netwerk recursieve query's ontvangt. Zie Recursie op de DNS-server uitschakelen voor meer informatie. |
|
Aanbevolen basisservers |
Als de DNS-infrastructuur een interne DNS-basisserver bevat, stelt u de aanbevolen basisservers van interne DNS-servers zo in dat ze alleen verwijzen naar de DNS-servers die host zijn van het hoofddomein, en niet naar de DNS-servers die host zijn van het internethoofddomein. U voorkomt zo dat interne DNS-servers bij het omzetten van namen persoonlijke gegevens over het Internet verzenden. Zie De aanbevolen basisservers bijwerken op de DNS-server en De aanbevolen basisservers bijwerken voor meer informatie. |
Beheer de DACL op DNS-servers die worden uitgevoerd op domeincontrollers
DNS-servers die als domeincontrollers zijn geconfigureerd, gebruiken naast de standaardinstellingen voor de DNS Server-service die van invloed zijn op de beveiliging (zie hierboven), een DACL (Discretionary Access Control List ofwel discretionaire toegangsbeheerlijst). Via de DACL kunt u de machtigingen instellen voor de Active Directory-gebruikers en -groepen die toegang mogen hebben tot de DNS Server-service.
De volgende tabel bevat de standaardnamen van groepen of gebruikers en de standaardmachtigingen voor de DNS Server-service wanneer deze wordt uitgevoerd op een domeincontroller.
| Namen van groepen of gebruikers | Machtigingen |
|---|---|
|
Administrators |
Toestaan: Lezen, Schrijven, Alle onderliggende objecten maken, Speciale machtigingen |
|
Maker Eigenaar |
Speciale machtigingen |
|
DnsAdmins |
Toestaan: Lezen, Schrijven, Alle onderliggende objecten maken, Onderliggende objecten verwijderen, Speciale machtigingen |
|
Domeinadministrators |
Toestaan: Volledig beheer, Lezen, Schrijven, Alle onderliggende objecten maken, Onderliggende objecten verwijderen |
|
Ondernemingsadministrators |
Toestaan: Volledig beheer, Lezen, Schrijven, Alle onderliggende objecten maken, Onderliggende objecten verwijderen |
|
Ondernemingsdomeincontrollers |
Toestaan: Speciale machtigingen |
|
Pre-Windows 2000-compatibele toegang |
Toestaan: Speciale machtigingen |
|
System |
Toestaan: Volledig beheer, Lezen, Schrijven, Alle onderliggende objecten maken, Onderliggende objecten verwijderen |
Wanneer de DNS Server-service op een domeincontroller wordt uitgevoerd, kunt u de DACL van de server beheren via het Active Directory-object MicrosoftDNS. Het configureren van de DACL in het MicrosoftDNS-object heeft hetzelfde effect als het configureren van de DACL op de DNS-server in DNS-beheer. Deze laatste methode is de aanbevolen methode. Het is daarom belangrijk dat de beveiligingsbeheerders van Active Directory-objecten en DNS-servers direct contact hebben om te voorkomen dat de beheerders elkaars beveiligingsinstellingen ongedaan maken.
Zie Beveiligingsinformatie voor DNS voor meer informatie.