Чтобы улучшить безопасность DNS-серверов в сети, придерживайтесь следующих правил.
Изучение и настройка параметров службы DNS-сервера по умолчанию, которые влияют на безопасность
Следующие параметры конфигурации службы DNS-сервера влияют на безопасность как стандартной службы DNS-сервера, так и службы, интегрированной в Active Directory.
| Параметр по умолчанию | Описание |
|---|---|
|
Интерфейсы |
По умолчанию служба DNS-сервера, которая работает на многосетевом компьютере, настроена на прослушивание DNS-запросов по всем своим IP-адресам. Можно ограничить IP-адреса, которые прослушивает служба DNS-сервера, одним IP-адресом, используемым DNS-клиентами в качестве основного DNS-сервера. Дополнительные сведения см. в разделе Ограничение DNS-сервера для прослушивания только выбранных адресов. |
|
Обеспечение безопасности кэша для предотвращения повреждения |
По умолчанию повреждение кэша не представляет опасности для службы DNS-сервера; это повреждение происходит при содержании в DNS-запросе не заслуживающих доверия или вредоносных данных. Параметр Включить безопасный кэш способствует предотвращению успешного повреждения злоумышленником кэша DNS-сервера путем помещения туда записей ресурсов, которые не были запрошены DNS-сервером. Изменение этого параметра по умолчанию приводит к уменьшению целостности ответов, предоставляемых службой DNS-сервера. Дополнительные сведения см. в разделе Обеспечение безопасности кэша сервера для предотвращения повреждения имен. |
|
Отключение рекурсии |
По умолчанию в службе DNS-сервера рекурсия не отключена. Это позволяет DNS-серверу выполнять рекурсивные запросы от имени своих DNS-клиентов и DNS-серверов, которые переслали запросы своих DNS-клиентов на этот сервер. Рекурсия может быть использована злоумышленниками для отказа DNS-сервером в обслуживании. Поэтому если DNS-сервер в сети не должен получать рекурсивные запросы, рекурсия должна быть отключена. Дополнительные сведения см. в разделе Отключение рекурсии на DNS-сервере |
|
Корневые ссылки |
Если имеется внутренний корень DNS в инфраструктуре DNS, настройте корневые ссылки внутренних DNS-серверов на указание только тех DNS-серверов, в которых размещается корневой домен, а не DNS-серверов, содержащих корневой домен Интернета. Это способствует предотвращению отправки внутренними DNS-серверами конфиденциальных сведений через Интернет во время разрешения имен. Дополнительные сведения см. в разделах Обновление корневых ссылок на DNS-сервере и Обновление корневых ссылок. |
Управление списком управления доступом на уровне пользователей на DNS-серверах, работающих на контроллерах домена
Кроме описанных параметров службы DNS-сервера по умолчанию, которые влияют на безопасность, в DNS-серверах, настроенных как контроллеры домена, используется список управления доступом на уровне пользователей (DACL). Этот список используется для управления разрешениями, предназначенными для пользователей и групп Active Directory, которые могут управлять службой DNS-сервера.
В следующей таблице приведены имена пользователей и групп по умолчанию, а также разрешения для службы DNS-сервера при ее функционировании на контроллере домена.
| Группы или пользователи | Разрешения |
|---|---|
|
Администраторы |
Разрешить: чтение, запись, создание всех дочерних объектов, особые разрешения |
|
Создатель-владелец |
особые разрешения |
|
DnsAdmins |
Разрешить: чтение, запись, создание всех дочерних объектов, удаление дочерних объектов, особые разрешения |
|
Администраторы домена |
Разрешить: полный доступ, чтение, запись, создание всех дочерних объектов, удаление дочерних объектов |
|
Администраторы предприятия |
Разрешить: полный доступ, чтение, запись, создание всех дочерних объектов, удаление дочерних объектов |
|
Контроллеры домена предприятия |
Разрешить: особые разрешения |
|
Пред-Windows 2000 доступ |
Разрешить: особые разрешения |
|
Системный |
Разрешить: полный доступ, чтение, запись, создание всех дочерних объектов, удаление дочерних объектов |
Если служба DNS-сервера работает на контроллере домена, можно управлять ее списком управления доступом на уровне пользователей с помощью объекта Active Directory MicrosoftDNS. Настройка списка DACL в объекте MicrosoftDNS приводит к тем же результатам, что и настройка DACL на DNS-сервере в диспетчере DNS, то есть настройка рекомендуемым методом. Соответственно, администраторы безопасности объектов Active Directory и администраторы DNS-серверов должны тесно взаимодействовать, чтобы не сбрасывать параметры безопасности, установленные другими администраторами.
Дополнительные сведения см. в разделе Сведения о безопасности для DNS.