Det är extra viktigt att se till att DNS-infrastrukturen skyddas mot attacker utifrån – eller till och med inifrån – organisationen om du använder DNS-servrar (Domain Name System) som är riktade mot Internet. Du kan konfigurera DNS-servern, när den är integrerad med Active Directory Domain Services (AD DS), så att säkra dynamiska uppdateringar används för att förhindra att DNS-data ändras av obehöriga personer. Du kan också vidta ytterligare åtgärder för att minska risken för att attackerare kan skada DNS-infrastrukturens integritet.
| Åtgärd | Referensinformation |
|---|---|
|
Fastställ vilka DNS-säkerhetshot som är störst i din miljö, och bestäm vilken säkerhetsnivå som krävs. |
|
|
Använd olika DNS-servrar för intern och Internetbaserad namnmatchning för att ytterligare förhindra att någon utanför företaget får tillgång till intern nätverksinformation. Det interna DNS-namnområdet bör finnas på DNS-servrar bakom nätverkets brandvägg. Den externa, Internetbaserade DNS-funktionen bör hanteras av en DNS-server i ett perimeternätverk. Om du vill använda Internetnamnmatchning på interna värdar kan du använda en vidarebefordrare på de interna DNS-servrarna som skickar externa förfrågningar till den externa DNS-servern. Konfigurera den externa routern och brandväggen så att DNS-trafik endast tillåts mellan de interna och externa DNS-servrarna. |
|
|
Begränsa DNS-zonöverföringar för de DNS-servrar i nätverket som är öppet mot Internet till antingen DNS-servrar som identifieras med namnserverresursposter (NS) i zonen eller till specifika DNS-servrar i nätverket, om zonöverföring måste vara aktiverat. |
|
|
Om server där tjänsten DNS Server körs är en dator med flera IP-adresser begränsar du tjänsten DNS Server så att den endast lyssnar på IP-adressen för gränssnittet som används av DNS-klienter och interna servrar. En server som fungerar som proxyserver kan till exempel ha två nätverkskort, ett för intranätet och ett för Internet. Om tjänsten DNS Server dessutom körs på den servern kan du konfigurera tjänsten så att den endast lyssnar på DNS-trafik på den IP-adress som används av nätverkskortet för intranätet. |
Konfigurera servrar med flera IP-adresser; Begränsa en DNS-server till att endast lyssna på valda adresser |
|
Kontrollera att standardserveralternativen som gör att cacheminnena på alla DNS-servrar skyddas mot nedsmutsning inte har ändrats. Nedsmutsning av namn inträffar när DNS-frågesvar innehåller icke-auktoritära eller skadliga data. |
|
|
Tillåt endast säkra dynamiska uppdateringar för alla DNS-zoner. Detta säkerställer att endast autentiserade användare kan skicka DNS-uppdateringar med en säker metod, vilket bidrar till att förhindra att IP-adresser för betrodda värdar kapas av någon som vill sabotera. |
|
|
Inaktivera rekursion på DNS-servrar som inte svarar direkt till DNS-klienter och som inte har konfigurerats med vidarebefordrare. Rekursion krävs endast på en DNS-server om den svarar på rekursiva frågor från DNS-klienter eller om den har konfigurerats med en vidarebefordrare. Iterativa frågor används när DNS-servrar kommunicerar med varandra. |
|
|
Om du har ett privat, internt DNS-namnområde konfigurerar du rottipsen på de interna DNS-servrarna så att de endast pekar till de DNS-servrar där den interna rotdomänen finns, och inte de DNS-servrar där Internetrotdomänen finns. |
|
|
Om servern där tjänsten DNS Server körs är en domänkontrollant kan du använda ALC-listor i Active Directory (åtkomstkontrollista) för att göra åtkomsten till tjänsten DNS Server säker. |
Ändra säkerhetsinställningar för tjänsten DNS Server på en domänkontrollant |
|
Använd endast AD DS-integrerade DNS-zoner. Det går att använda säkerhetsfunktionerna i Active Directory för DNS-zoner som lagras i AD DS, till exempel säker dynamisk uppdatering och möjligheten att använda AD DS-säkerhetsinställningar för DNS-servrar, zoner och resursposter. Om en DNS-zon inte lagras i AD DS kan du göra DNS-zonfilen säker genom att ändra behörigheterna för DNS-zonfile eller mappen som zonfilerna sparas i. Behörigheterna för zonfilen eller mappen bör konfigureras så att endast gruppen System har fullständig behörighet. Som standard lagras zonfiler i mappen %systemroot%\System32\Dns. |
Så här fungerar Active Directory Domain Services-integrering; Konfigurera en DNS-server för användning med Active Directory Domain Services |