Konfigurationsalternativen för DNS-zoner (Domain Name System) i avsnitten nedan påverkar säkerheten för både standard- och Active Directory-integrerade DNS-zoner.
Konfigurera säkra dynamiska uppdateringar
Som standard är inställningen Dynamiska uppdateringar inte inställd till att tillåta dynamiska uppdateringar. Det är den säkraste inställningen eftersom det förhindrar att någon som vill attackera nätverket uppdaterar DNS-zoner. Den här inställningen hindrar dig dock från att dra nytta av de administrativa fördelarna med dynamisk uppdatering. Om du vill konfigurera datorer så att DNS-data uppdateras mer säkert lagrar du DNS-zoner i Active Directory Domain Services (AD DS) och använder funktionen för säker dynamisk uppdatering. Säker dynamisk uppdatering begränsar DNS-zonuppdateringar till enbart de datorer som autentiseras med och är anslutna till den Active Directory-domän som DNS-servern finns i och till de specifika säkerhetsinställningar som definieras i ACL-listorna (åtkomstkontrollistor) för DNS-zonen.
Mer information finns i Tillåta endast säkra dynamiska uppdateringar.
Hantera DACL för DNS-zoner som lagrats i AD DS
Du kan använda DACL (kontrollista för godtycklig behörighet) för att hantera behörigheterna för Active Directory-användare och -grupper som kan hantera DNS-zonerna.
I tabellen nedan listas standardgrupps- eller användarnamnen och behörigheterna för DNS-zoner som lagrats i AD DS.
Grupp- eller användarnamn | Behörigheter |
---|---|
Administratörer |
Tillåt: Läsa, Skriva, Skapa alla underordnade objekt, Särskilda behörigheter |
Autentiserade användare |
Tillåt: Skapa alla underordnade objekt |
Skapare ägare |
Särskilda behörigheter |
DnsAdmins |
Tillåt: Fullständig behörighet, Läsa, Skriva, Skapa alla underordnade objekt, Ta bort underobjekt, Särskilda behörigheter |
Domänadministratörer |
Tillåt: Fullständig behörighet, Läsa, Skriva, Skapa alla underordnade objekt, Ta bort underobjekt |
Företagsadministratörer |
Tillåt: Fullständig behörighet, Läsa, Skriva, Skapa alla underordnade objekt, Ta bort underobjekt |
Företagets domänkontrollanter |
Tillåt: Fullständig behörighet, Läsa, Skriva, Skapa alla underordnade objekt, Ta bort underobjekt, Särskilda behörigheter |
Alla |
Tillåt: Läsa, Särskilda behörigheter |
Åtkomst som är kompatibel med versioner före Windows 2000 |
Tillåt: Särskilda behörigheter |
System |
Tillåt: Fullständig behörighet, Läsa, Skriva, Skapa alla underordnade objekt, Ta bort underobjekt |
Mer information finns i Ändra säkerhetsinställningar för en Directory-integrerad zon.
Tjänsten DNS Server på en domänkontrollant som har zoner som lagrats i AD DS sparar sina zondata i AD DS med Active Directory-objekt och -attribut. Om du konfigurerar DACL för DNS Active Directory-objekt har det samma effekt som om du konfigurerar DACL för DNS-zoner i DNS-hanteraren. Följaktligen ska säkerhetsadministratörerna för Active Directory-objekt och säkerhetsadministratörerna för DNS-data vara i direktkontakt med varandra för att säkerställa att administratörerna inte ändrar varandras säkerhetsinställningar.
I tabellen nedan beskrivs Active Directory-objekten och -attributen som används av DNS-zondata.
Objekt | Beskrivning |
---|---|
DnsZone |
Den här behållaren skapas när en zon lagras i AD DS. |
DnsNode |
Det här lövobjektet används för att mappa och associera ett namn i zonen till resursdata. |
DnsRecord |
Det här attributet med flera värden för ett dnsNode-objekt används för att lagra resursposterna som är associerade med det namngivna nodobjektet. |
DnsProperty |
Det här attributet med flera värden för ett dnsZone-objekt används för att lagra information om zonkonfiguration. |
Begränsa zonöverföringar
Som standard tillåts zoninformation endast att överföras till servrar som anges i namnserverresursposterna (NS) för en zon. Det här är en säker konfiguration, men om du vill öka säkerheten ytterligare ändrar du inställningen till det alternativ som tillåter zonöverföringar till angivna IP-adresser. Om du ändrar den här inställningen så att zonöverföringar är tillåtna till alla servrar kan DNS-data vara oskyddade mot någon som vill attackera som försöker komma åt utrymme på nätverket.
Mer information finns i Ändra överföringsinställningar för zoner.
Förstå kompromissen vid zondelegering
När du bestämmer dig för om du ska delegera DNS-domännamn till zoner på DNS-servrar som administreras separat är det viktigt att du tänker över vilken effekt det kan ha på säkerheten att ge flera personer möjlighet att administrera DNS-data i nätverket. Delegering av zondata är en kompriss mellan säkerhetsfördelarna med en enda auktoritär DNS-server för alla DNS-data och de administrativa fördelarna med att fördela ansvaret för DNS-namnområdet mellan olika administratörer. Den här frågan är mycket viktig om du delegerar domäner på den översta nivån i ett privat DNS-namnområde, eftersom sådana domäner innehåller mycket känsliga DNS-data.
Mer information finns i Så här fungerar delegering av zoner.
Återställa DNS-zondata
Om DNS-data har blivit korrupta kan du återställa DNS-zonfilen från säkerhetskopieringsmappen, som finns i mappen %systemroot%/DNS/Backup. När en zon skapas från första början sparas en kopia av zonen i säkerhetskopieringsmappen. När du vill återställa zonen kopierar du den ursprungliga zonfilen från säkerhetskopieringsmappen till mappen %systemroot%/DNS. Om du använder guiden Ny Zon för att skapa zonen anger du zonfilen i mappen %systemroot%/DNS som zonfil för den nya zonen. Mer information finns i Lägga till en zon för vanlig sökning.
Den här åtgärden gäller endast för standardzoner som inte lagrats i AD DS.
Mer information finns i Säkerhetsinformation för DNS.