Para ajudar a proteger os servidores DNS (sistema de nomes de domínio) em sua rede, use as seguintes diretrizes.

Examine e defina as configurações padrão do serviço de Servidor DNS que afetam a segurança

As opções de configuração do serviço de Servidor DNS a seguir têm implicações de segurança tanto para o serviço de Servidor DNS padrão quanto para o integrado ao Active Directory.

Configuração padrão Descrição

Interfaces

Por padrão, um serviço de Servidor DNS que está sendo executado em um computador multihomed é configurado para escutar consultas DNS usando todos os endereços IP. Limite os endereços IP que o serviço de Servidor DNS ouvirá ao endereço IP que os clientes DNS usam como seu servidor DNS preferido.

Para obter mais informações, consulte Restringir um servidor DNS a escutar somente em endereços selecionados.

Proteger cache contra poluição

Por padrão, o serviço de Servidor DNS é protegido contra poluição do cache, que resulta quando as respostas de consulta do DNS contêm dados não autoritativos ou malintencionados. A opção Proteger cache contra poluição ajuda a impedir que um invasor tenha êxito em poluir o cache de um servidor DNS com registros de recursos que não foram solicitados pelo servidor DNS. A alteração desta configuração padrão reduz a integridade das respostas que são fornecidas pelo serviço de Servidor DNS.

Para obter mais informações, consulte Proteger o cache do servidor contra a poluição de nomes.

Desabilitar recursão

Por padrão, a recursão não está desabilitada para o serviço de Servidor DNS. Isso possibilita que o servidor DNS realize consultas recursivas em nome de seus clientes DNS e servidores DNS que tenham encaminhado consultas de cliente DNS para ele. A recursão pode ser usada por invasores para negar o serviço de Servidor DNS. Portanto, se o servidor DNS em sua rede não pretende receber consultas recursivas, isto deve ser desabilitado.

Para obter mais informações, consulte Desabilitar a recursão no servidor DNS

Dicas de raiz

Se você tiver uma raiz DNS interna em sua infraestrutura DNS, configure as dicas de raiz dos servidores DNS internos para apontarem somente para os servidores DNS que hospedam seu domínio raiz, não os servidores DNS que hospedam o domínio raiz da Internet. Isto impede que seus servidores DNS internos enviem informações particulares pela Internet quando resolvem nomes.

Para obter mais informações, consulte Atualizar dicas de raízes no Servidor DNS e Atualizando as dicas de raízes.

Gerencie a DACL nos servidores DNS executando em controladores de domínio

Além das configurações padrão do serviço do Servidor DNS que afetam a segurança já descritas, os servidores DNS que estão configurados como controladores de domínio usam uma lista de controle de acesso condicional (DACL). Você pode usar a DACL para controlar as permissões dos usuários e grupos do Active Directory que controlam o serviço do Servidor DNS.

A tabela a seguir relaciona os nomes e permissões padrão de grupos e usuários do serviço de Servidor DNS quando ele está executando em um controlador de domínio.

Nomes de grupo ou de usuário Permissões

Administradores

Permitir: Leitura, Gravação, Criação de todos os objetos filho, Permissões especiais

Proprietário criador

Permissões especiais

DnsAdmins

Permitir: Leitura, Gravação, Criar Todos os Objetos Filho, Excluir Objetos Filho, Permissões Especiais

Admins. do domínio

Permitir: Controle total, Leitura, Gravação, Criação de todos os objetos filho, Exclusão de objetos filho

Administradores de empresa

Permitir: Controle total, Leitura, Gravação, Criação de todos os objetos filho, Exclusão de objetos filho

Controladores de domínio de empresa

Permitir: Permissões Especiais

Acesso compatível com versões anteriores ao Windows 2000

Permitir: Permissões Especiais

Sistema

Permitir: Controle total, Leitura, Gravação, Criação de todos os objetos filho, Exclusão de objetos filho

Quando o serviço de Servidor DNS está executando em um controlador de domínio, você pode gerenciar sua DACL usando o objeto MicrosoftDNS do Active Directory. Configurar a DACL no objeto MicrosoftDNS tem o mesmo efeito que configurar a DACL no servidor DNS no Gerenciador DNS, que é o método recomendado. Consequentemente, os administradores de segurança dos objetos do Active Directory e dos servidores DNS devem estar em contato direto para assegurar que os administradores não invertam as configurações de segurança uns dos outros.

Para obter mais informações, consulte Informações sobre segurança do DNS.


Sumário