若要帮助保护网络中的域名系统 (DNS) 服务器,请使用以下规则。
检查并配置影响安全性的默认 DNS 服务器服务设置。
DNS 服务器服务的以下配置选项对标准 DNS 服务器服务和 Active Directory 集成的 DNS 服务器服务均有安全隐患。
默认设置 | 描述 |
---|---|
接口 |
默认情况下,会将在多宿主计算机上运行的 DNS 服务器服务配置为使用其所有 IP 地址来侦听 DNS 查询。将 DNS 服务器服务侦听的 IP 地址限制为其 DNS 客户端用作首选 DNS 服务器的 IP 地址。 有关详细信息,请参阅限制 DNS 服务器只侦听选定的地址。 |
保护缓存防止污染 |
默认情况下,会保护 DNS 服务器服务以防受到缓存污染,其中,缓存污染在 DNS 查询响应包含非权威数据或恶意数据时发生。“保护缓存防止污染”选项可帮助防止攻击者使用 DNS 服务器未请求的资源记录成功地污染 DNS 服务器缓存。更改此默认设置会降低 DNS 服务器服务提供的响应的完整性。 有关详细信息,请参阅保护服务器缓存不受名称污染。 |
禁用递归 |
默认情况下,不会对 DNS 服务器服务禁用递归。这样一来,DNS 服务器就可以代表其 DNS 客户端以及已将 DNS 客户端查询转发给它的 DNS 服务器执行递归查询。攻击者可以使用递归来拒绝 DNS 服务器服务。因此,如果网络中的 DNS 服务器不准备接收递归查询,则应该禁用递归。 有关详细信息,请参阅在 DNS 服务器上禁用递归。 |
根提示 |
如果 DNS 结构中有内部 DNS 根,请将内部 DNS 服务器的根提示配置为仅指向承载根域的 DNS 服务器,而不指向承载 Internet 根域的 DNS 服务器。这可以防止内部 DNS 服务器在解析名称时通过 Internet 发送私人信息。 有关详细信息,请参阅更新 DNS 服务器上的根提示 和更新根提示。 |
在运行域控制器的 DNS 服务器上管理 DACL
除了已介绍的影响安全性的默认 DNS 服务器服务设置以外,配置为域控制器的 DNS 服务器还会使用随机访问控制列表 (DACL)。您可以使用 DACL 来控制对 DNS 服务器服务进行控制的 Active Directory 用户和组的权限。
下表列出了 DNS 服务器服务在域控制器中运行时的默认组名或用户名以及权限。
组名或用户名 | 权限 |
---|---|
Administrators |
允许:读取、写入、创建所有子对象、特殊权限 |
创建者所有者 |
特殊权限 |
DnsAdmins |
允许:读取、写入、创建所有子对象、删除子对象、特殊权限 |
Domain Admins |
允许:完全控制、读取、写入、创建所有子对象、删除子对象 |
Enterprise Admins |
允许:完全控制、读取、写入、创建所有子对象、删除子对象 |
企业域控制器 |
允许:特殊权限 |
Windows 2000 以前版本兼容的访问 |
允许:特殊权限 |
系统 |
允许:完全控制、读取、写入、创建所有子对象、删除子对象 |
DNS 服务器服务在域控制器上运行时,可以使用 Active Directory 对象 MicrosoftDNS 来管理其 DACL。在 MicrosoftDNS 对象上配置 DACL 与在 DNS 管理器中的 DNS 服务器上配置 DACL 的效果相同,建议使用后一种方法。因此,Active Directory 对象和 DNS 服务器的安全管理员应保持直接联系,以确保这些管理员相互之间的安全设置不颠倒。
有关详细信息,请参阅 DNS 安全信息。