Aby ułatwić zabezpieczanie serwerów DNS (Domain Name System) w sieci, można skorzystać z poniższych wskazówek.

Sprawdzanie i konfigurowanie domyślnych ustawień usługi serwera DNS dotyczących zabezpieczeń

Poniższe opcje konfiguracji usługi serwera DNS mają wpływ na zabezpieczanie zarówno standardowej, jak i zintegrowanej z usługą Active Directory usługi serwera DNS.

Ustawienie domyślne Opis

Interfejsy

Domyślnie usługa serwera DNS działająca na komputerze wieloadresowym jest skonfigurowana do nasłuchiwania zapytań DNS przy użyciu wszystkich swoich adresów IP. Należy wprowadzić ograniczenie dla adresów IP, aby usługa serwera DNS prowadziła nasłuch tylko na adresie IP, którego klienci DNS używają jako adresu preferowanego serwera DNS.

Aby uzyskać więcej informacji, zobacz temat Ograniczanie listy adresów, na których serwer DNS prowadzi nasłuch.

Zabezpiecz pamięć podręczną przed zanieczyszczeniami

Domyślnie usługa serwera DNS jest zabezpieczana przed zanieczyszczeniem pamięci podręcznej, które może wystąpić wówczas, gdy odpowiedzi na zapytania DNS zawierają dane nieautorytatywne lub dane o złośliwym działaniu. Opcja Zabezpiecz pamięć podręczną przed zanieczyszczeniami uniemożliwia osobie atakującej zanieczyszczanie pamięci podręcznej serwera DNS rekordami zasobów, których serwer DNS nie zażądał. Zmiana tego ustawienia domyślnego ogranicza integralność odpowiedzi dostarczanych przez usługę serwera DNS.

Aby uzyskać więcej informacji, zobacz temat Zabezpieczanie pamięci podręcznej serwera przed zanieczyszczaniem nazw.

Wyłącz rekursję

Domyślnie w usłudze serwera DNS rekursja nie jest wyłączona. Dzięki temu serwer DNS może obsługiwać zapytania cykliczne w imieniu swoich klientów DNS oraz w imieniu serwerów DNS, które przesłały dalej do niego zapytania swoich klientów. Używając rekursji, osoby atakujące mogą doprowadzić do odmowy usług na serwerze DNS. Dlatego w przypadku, gdy serwer DNS w sieci nie musi odbierać zapytań cyklicznych, ta funkcja powinna być wyłączona.

Aby uzyskać więcej informacji, zobacz temat Wyłączanie rekursji na serwerze DNS

Wskazówki dotyczące serwerów głównych

Jeśli w infrastrukturze systemu DNS istnieje wewnętrzny serwer główny DNS, należy skonfigurować wskazówki dotyczące serwerów głównych na wewnętrznych serwerach DNS w taki sposób, aby wskazywały tylko serwery DNS obsługujące domenę główną, a nie serwery DNS obsługujące internetową domenę główną. Zapobiegnie to wysyłaniu przez wewnętrzne serwery DNS prywatnych informacji do Internetu podczas rozpoznawania nazw.

Aby uzyskać więcej informacji, zobacz tematy Aktualizowanie wskazówek dotyczących serwerów głównych na serwerze DNS i Aktualizowanie wskazówek dotyczących serwerów głównych.

Zarządzanie poufną listą kontroli dostępu (DACL) na serwerach DNS uruchomionych na kontrolerach domeny

Oprócz opisanych powyżej domyślnych ustawień usługi serwera DNS, które wpływają na zabezpieczenia, serwery DNS skonfigurowane jako kontrolery domeny używają poufnej listy kontroli dostępu (DACL). Lista DACL umożliwia określanie uprawnień użytkowników i grup usługi Active Directory, którzy mają kontrolę nad usługą serwera DNS.

W tabeli poniżej zestawiono domyślne nazwy grup i użytkowników oraz uprawnienia dla usługi serwera DNS działającej na kontrolerze domeny.

Nazwy grup lub użytkowników Uprawnienia

Administratorzy

Zezwalaj: Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Uprawnienia specjalne

Twórca-właściciel

Uprawnienia specjalne

Administratorzy DNS

Zezwalaj: Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Usuwanie obiektów podrzędnych, Uprawnienia specjalne

Administratorzy domeny

Zezwalaj: Pełna kontrola, Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Usuwanie obiektów podrzędnych

Administratorzy przedsiębiorstwa

Zezwalaj: Pełna kontrola, Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Usuwanie obiektów podrzędnych

Kontrolery domeny przedsiębiorstwa

Zezwalaj: Uprawnienia specjalne

Dostęp zgodny z systemami starszymi niż Windows 2000

Zezwalaj: Uprawnienia specjalne

System

Zezwalaj: Pełna kontrola, Odczyt, Zapis, Tworzenie wszystkich obiektów podrzędnych, Usuwanie obiektów podrzędnych

Jeśli usługa serwera DNS jest uruchomiona na kontrolerze domeny, do zarządzania jej listą DACL można używać obiektu usługi Active Directory o nazwie MicrosoftDNS. Skonfigurowanie listy DACL w obiekcie MicrosoftDNS ma taki sam skutek jak skonfigurowanie jej na serwerze DNS w Menedżerze DNS, co jest zalecaną metodą. W efekcie administratorzy zabezpieczeń obiektów usługi Active Directory i serwerów DNS powinni utrzymywać bezpośredni kontakt, tak aby mieć pewność, że nie będą wzajemnie anulować skonfigurowanych ustawień zabezpieczeń.

Aby uzyskać więcej informacji, zobacz temat Informacje o zabezpieczeniach systemu DNS.


Spis treści