As opções de configuração de zona do DNS (Sistema de Nomes de Domínio) nas secções seguintes têm implicações de segurança tanto para zonas padrão como para zonas de DNS integradas no Active Directory.

Configurar actualizações dinâmicas seguras

Por predefinição, a definição Actualizações dinâmicas não é configurada para permitir as actualizações dinâmicas. Esta é a definição mais segura, pois impede que um atacante actualize zonas de DNS. No entanto, esta definição impede-o de beneficiar das vantagens administrativas que a actualização dinâmica oferece. Para configurar os computadores para actualizarem os dados DNS de forma mais segura, armazene as zonas DNS nos Serviços de Domínio do Active Directory (AD DS) e utilize a funcionalidade de actualização dinâmica segura. A actualização dinâmica segura restringe as actualizações de zonas de DNS apenas aos computadores que estão autenticados e aderiram ao domínio do Active Directory onde o servidor DNS está localizado e às definições de segurança específicas que estão definidas nas listas de controlo de acesso (ACLs) da zona de DNS.

Para mais informações, consulte Permitir Apenas Actualizações Dinâmicas Seguras.

Gerir a DACL nas zonas de DNS que estão armazenadas no AD DS.

Pode utilizar a lista de controlo de acesso discricionária (DACL) para controlar as permissões, para os utilizadores e grupos do Active Directory que podem controlar as zonas de DNS.

A tabela seguinte lista os Nomes de grupos ou utilizadores predefinidos e as permissões para zonas de DNS que estão armazenadas no AD DS.

Nomes de grupos ou utilizadores Permissões

Administradores

Permitir: Leitura, Escrita, Criar Todos os Objectos Subordinados, Permissões Especiais

Utilizadores Autenticados

Permitir: Criar Todos os Objectos Subordinados

Criador Proprietário

Permissões especiais

Admins de DNS

Permitir: Controlo Total, Leitura, Escrita, Criar Todos os Objectos Subordinados, Eliminar Objectos Subordinados, Permissões Especiais

Admins de Domínio

Permitir: Controlo Total, Leitura, Escrita, Criar Todos os Objectos Subordinados, Eliminar Objectos Subordinados

Admins da Empresa

Permitir: Controlo Total, Leitura, Escrita, Criar Todos os Objectos Subordinados, Eliminar Objectos Subordinados

Controladores de Domínio da Empresa

Permitir: Controlo Total, Leitura, Escrita, Criar Todos os Objectos Subordinados, Eliminar Objectos Subordinados, Permissões Especiais

Todos

Permitir: Leitura, Permissões Especiais

Acesso Compatível Pré-Windows 2000

Permitir: Permissões especiais

Sistema

Permitir: Controlo Total, Leitura, Escrita, Criar Todos os Objectos Subordinados, Eliminar Objectos Subordinados

Para mais informações, consulte Modificar a Segurança de uma Zona Integrada no Directório.

O serviço Servidor DNS em execução num controlador de domínio que tem zonas armazenadas no AD DS armazena os respectivos dados de zona no AD DS utilizando objectos e atributos do Active Directory. Configurar a DACL nos objectos de Active Directory do DNS tem o mesmo efeito que configurar a DACL nas zonas de DNS no Gestor de DNS. Consequentemente, os administradores de segurança dos objectos Active Directory e os administradores de segurança dos dados de DNS devem estar em contacto directo para garantir que os administradores não invertem as definições de segurança uns dos outros.

A tabela seguinte descreve os objectos e atributos do Active Directory que são utilizados por dados de zona de DNS.

Objecto Descrição

DnsZone

Este contentor é criado quando uma zona é armazenada no AD DS.

DnsNode

Este objecto folha é utilizado para mapear e associar um nome na zona aos dados de recursos.

DnsRecord

Este atributo de valores múltiplos de um objecto dnsNode é utilizado para armazenar os registos de recursos que estão associados ao objecto nó nomeado.

DnsProperty

Este atributo de valores múltiplos de um objecto dnsZone é utilizado para armazenar informação de configuração.

Restringir transferências de zona

Por predefinição, o serviço Servidor DNS apenas permite que a informação da zona seja transferida para servidores que estão listados nos registos de recursos do servidor de nomes (NS) de uma zona. Esta é uma configuração segura, mas para aumentar a segurança, esta definição deverá ser alterada para a opção que permite transferências de zona para endereços IP específicos. A alteração desta definição de forma a permitir transferências de zona para qualquer servidor pode expor os dados de DNS a um atacante que tente copiar a planta da rede.

Para mais informações, consulte Modificar Definições de Transferência de Zona.

Noções Sobre o compromisso envolvido na delegação de zona

Quando está a decidir se vai delegar nomes de domínio de DNS em zonas alojadas em servidores DNS que são administrados separadamente, é importante considerar as implicações de segurança de dar a múltiplos indivíduos a possibilidade de administrar os dados de DNS da rede. A delegação de zona de DNS envolve um compromisso entre as vantagens de segurança em ter um único servidor DNS autoritativo para todos os dados de DNS e as vantagens administrativas de distribuir a responsabilidade pelo espaço de nomes de DNS a diversos administradores. Esta questão é muito importante quando está a delegar os domínios de nível superior de um espaço de nomes de DNS privado, porque esses domínios contêm dados de DNS muito sensíveis.

Para mais informações, consulte Noções sobre Delegação de Zona.

Recuperar dados de zona de DNS

Se os dados de DNS estiverem danificados, poderá restaurar o ficheiro de zona de DNS a partir da pasta de cópia de segurança, que se encontra na pasta %systemroot%/DNS/Backup. Quando uma zona é criada, é adicionada uma cópia dela à pasta de cópia de segurança. Para recuperar a zona, copie o ficheiro de zona original a partir da pasta de cópia de segurança que está na pasta %systemroot%/DNS. Quando utiliza o Assistente para Nova Zona para criar a zona, especifique o ficheiro de zona que está na pasta %systemroot%/DNS como o ficheiro da nova zona. Para mais informações, consulte Adicionar uma Zona de Pesquisa Directa.

Esta operação aplica-se apenas a zonas padrão que não estão armazenadas no AD DS.

Para mais informações, consulte Informações de Segurança do DNS.


Sumário