尤其是在面向 Internet 的域名系统 (DNS) 服务器的情况下,确保 DNS 结构不受攻击(来自组织外部或内部)至关重要。您可以在 DNS 服务器与 Active Directory 域服务 (AD DS) 集成时,对其进行配置以使用安全动态更新来防止对 DNS 数据的未经授权的修改。还可以采取其他步骤来减少攻击者能够破坏 DNS 结构完整性的机会。

任务 参考

确定哪个 DNS 安全威胁对于您的环境最重要,并确定所需的安全性级别。

DNS 安全信息

若要帮助防止公司外部的任何人获取内部网络信息,请使用独立的 DNS 服务器进行内部和 Internet 名称解析。您的内部 DNS 命名空间应承载在网络中位于防火墙后面的 DNS 服务器上。您的外部 Internet DNS 的存在应由外围网络中的 DNS 服务器来管理。要向内部主机提供 Internet 名称解析,您可以将内部 DNS 服务器用作转发器来向外部 DNS 服务器发送外部查询。配置外部路由器和防火墙来允许 DNS 通信只在内部和外部 DNS 服务器之间实现。

了解转发器

使用转发器

对于暴露于 Internet 的网络中的 DNS 服务器,如果必须启用区域传送,可将 DNS 区域传送限制于区域中由名称服务器 (NS) 资源记录所标识的 DNS 服务器,或网络中的特定 DNS 服务器。

修改区域传送设置

如果运行 DNS 服务器服务的服务器是一个多宿主计算机,可将 DNS 服务器服务限制于仅侦听由 DNS 客户端和内部服务器所使用的接口 IP 地址。例如,充当代理服务器的服务器可以有两个网络适配器,一个用于 Intranet,一个用于 Internet。如果该服务器还同时运行 DNS 服务器服务,就可以将该服务配置为只侦听 Intranet 网络适配器使用的 IP 地址上的 DNS 通信。

配置多宿主服务器

限制 DNS 服务器只侦听选定的地址

请确保保证所有 DNS 服务器的缓存不受名称污染的默认服务器选项未被更改。名称污染发生在 DNS 查询响应包含非权威或恶意数据时。

保护服务器缓存不受名称污染

对所有 DNS 区域只允许进行安全动态更新。这可确保只有经过身份验证的用户可以使用安全方法提交 DNS 更新,这有助于防止受信任主机的 IP 地址被攻击者劫持。

了解动态更新

仅允许安全动态更新

禁用不直接响应 DNS 客户端且未配置转发器的 DNS 服务器递归。仅当 DNS 服务器响应 DNS 客户端的递归查询或者配置了转发器时,它才需要递归。DNS 服务器使用重复查询彼此通信。

在 DNS 服务器上禁用递归

如果您有一个专用的内部 DNS 命名空间,可配置内部 DNS 服务器上的根提示,使其仅指向承载内部根域的 DNS 服务器,不指向承载 Internet 根域的 DNS 服务器。

更新根提示

更新 DNS 服务器上的根提示

如果运行 DNS 服务器服务的服务器是一个域控制器,请使用 Active Directory 访问控制列表 (ACL) 来保证对 DNS 服务器服务的访问控制。

修改域控制器上的 DNS 服务器服务的安全性

仅使用 AD DS 集成的 DNS 区域。存储在 AD DS 中的 DNS 区域可以利用 Active Directory 安全功能,例如安全动态更新和将 AD DS 安全设置应用于 DNS 服务器、区域和资源记录的功能。

如果 DNS 区域未存储在 AD DS 中,请通过修改 DNS 区域文件或存储区域文件的文件夹的许可权限来保护 DNS 区域文件。区域文件或文件夹许可权限应被配置成只允许 System 组有“完全控制”权限。默认情况下,区域文件存储在 %systemroot%\System32\Dns 文件夹中。

了解 Active Directory 域服务集成

配置要与 Active Directory 域服务一同使用的 DNS 服务器


目录