Ağınızdaki Etki Alanı Adı Sistemi (DNS) sunucularının güvenliğini sağlamak için aşağıdaki yönergeleri kullanın.
DNS Sunucusu hizmetinin güvenliği etkileyen varsayılan ayarlarını inceleme ve yapılandırma
DNS Sunucusu hizmetinin aşağıdaki yapılandırma seçenekleri, hem standart hem de Active Directory ile tümleşik DNS Sunucusu hizmeti için güvenlik uygulamalarında kullanılabilir.
| Varsayılan ayar | Description |
|---|---|
|
Arabirimler |
Birden çok ana bilgisayara bağlı bir bilgisayarda çalışan DNS Sunucusu hizmeti varsayılan olarak tüm IP adreslerini kullanarak DNS sorgularını dinleyecek biçimde yapılandırılmıştır. DNS Sunucusu hizmetinin dinlediği IP adreslerini, DNS istemcilerinin tercih edilen DNS sunucusu olarak kullandığı IP adresiyle sınırlandırın. Daha fazla bilgi için, bkz. DNS sunucusunu yalnızca seçilen adresleri dinlemeyle sınırlama. |
|
Kirliliğe karşı önbelleği koru |
DNS sorgusu yanıtları yetkili olmayan veya kötü amaçlı veriler içerdiğinde oluşan önbellek kirliliğine karşı varsayılan olarak DNS Sunucusu hizmetinin güvenliği sağlanır. Kirliliğe karşı önbelleği koru seçeneği, bir saldırganın DNS sunucusu tarafından istenmeyen kaynak kayıtlarıyla bir DNS sunucusunun önbelleğini kirletmesini engeller. Bu varsayılan ayarı değiştirmek, DNS Sunucusu hizmeti tarafından sağlanan yanıtların bütünlüğünü azaltır. Daha fazla bilgi için bkz. Sunucu Önbelleğini Ad Kirliliğine Karşı Koruma. |
|
Özyinelemeyi devre dışı bırak |
Özyineleme, DNS Sunucusu hizmeti için varsayılan olarak devre dışı değildir. Böylece DNS sunucusu, DNS istemcileri ve DNS istemci sorgularını kendisine ileten DNS sunucuları adına özyinelemeli sorgular gerçekleştirebilir. Özyineleme, DNS Sunucusu hizmetini reddetmek için saldırganlar tarafından kullanılabilir. Bu nedenle, ağınızdaki bir DNS sunucusunun özyinelemeli sorgular alması planlanmıyorsa, bu özellik devre dışı bırakılmalıdır. Daha fazla bilgi için bkz. DNS Sunucusunda Özyinelemeyi Devre Dışı Bırakma |
|
Kök ipuçları |
DNS altyapınızda bir iç DNS kökü varsa, iç DNS sunucularının kök ipuçlarını, yalnızca kök etki alanınızı barındıran DNS sunucularına işaret edecek biçimde yapılandırın; Internet kök etki alanını barındıran DNS sunucularını işaret edecek biçimde yapılandırmayın. Bu, iç DNS sunucularınızın ad çözümlemesi yaparken özel bilgileri Internet üzerinden göndermesini engeller. Daha fazla bilgi için bkz. DNS Sunucusundaki Kök İpuçlarını Güncelleştirme ve Kök İpuçlarını Güncelleştirme. |
Etki alanı denetleyicilerinde çalışan DNS sunucularında DACL'yi yönetme
Etki alanı denetleyicileri olarak yapılandırılan DNS sunucuları yukarıda açıklanan varsayılan DNS Sunucusu hizmeti ayarlarının yanı sıra, sınırsız erişim denetimi listesi (DACL) kullanır. DNS Sunucusu hizmetini denetleyen Active Directory kullanıcılarının ve gruplarının izinlerini DACL kullanarak denetleyebilirsiniz.
Aşağıdaki tablolarda, bir etki alanı denetleyicisinde çalışan DNS Sunucusu hizmetinin varsayılan grup veya kullanıcı adları ve izinleri listelenmektedir.
| Grup veya kullanıcı adları | İzinler |
|---|---|
|
Yöneticiler |
İzin Ver: Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Özel İzinler |
|
Oluşturan Sahibi |
Özel İzinler |
|
DnsAdmins |
İzin Ver: Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Tüm Bağımlı Nesneleri Sil, Özel İzinler |
|
Etki Alanı Yöneticileri |
İzin Ver: Tam Denetim, Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Tüm Bağımlı Nesneleri Sil |
|
Şirket Yöneticileri |
İzin Ver: Tam Denetim, Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Tüm Bağımlı Nesneleri Sil |
|
Kuruluş Etki Alanı Denetleyicileri |
İzin Ver: Özel İzinler |
|
Windows 2000 Öncesi Uyumluluk Erişimi |
İzin Ver: Özel İzinler |
|
Sistem |
İzin Ver: Tam Denetim, Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Tüm Bağımlı Nesneleri Sil |
DNS Sunucusu hizmeti bir etki alanı denetleyicisinde çalışıyorsa, MicrosoftDNS adlı Active Directory nesnesini DACL'sini yönetebilirsiniz. MicrosoftDNS nesnesinde DACL'yi yapılandırmak, DNS Yöneticisi'nde DNS sunucusu için DACL'yi yapılandırmayla aynı etkiye sahiptir ve önerilen yöntem budur. Dolayısıyla, yöneticilerin birbirinin güvenlik ayarlarını etkilememesini sağlamak için, Active Directory nesnelerinin ve DNS sunucularının güvenlik yöneticileri doğrudan iletişim halinde olmalıdır.
Daha fazla bilgi için bkz. DNS Güvenlik Bilgileri.