对于标准 DNS 区域和 Active Directory 集成的 DNS 区域,以下部分中的域名系统 (DNS) 区域配置选项都具有安全意义。
配置安全动态更新
默认情况下,并不将“动态更新”设置为允许动态更新。这是最安全的设置,因为它可以防止攻击者更新 DNS 区域。但是,该设置会妨碍您利用动态更新提供的管理优势。若要将计算机配置为更加安全地更新 DNS 数据,请将 DNS 区域存储到 Active Directory 域服务 (AD DS) 中,并使用安全的动态更新功能。安全动态更新将 DNS 区域更新仅限于那些经过身份验证且加入 DNS 服务器所在的 Active Directory 域的计算机,并限定为在 DNS 区域的访问控制列表 (ACL) 中定义的特定安全设置。
有关详细信息,请参阅仅允许安全动态更新。
在存储在 AD DS 中的 DNS 区域上管理 DACL
您可以使用随机访问控制列表 (DACL) 来控制可以控制 DNS 区域的 Active Directory 用户和组的权限。
下表列出了存储在 AD DS 中的 DNS 区域的默认组或用户名及权限。
| 组名或用户名 | 权限 |
|---|---|
|
Administrators |
允许:读取、写入、创建所有子对象、特殊权限 |
|
经过身份验证的用户 |
允许:创建所有子对象 |
|
创建者所有者 |
特殊权限 |
|
DnsAdmins |
允许:完全控制、读取、写入、创建所有子对象、删除子对象、特殊权限 |
|
Domain Admins |
允许:完全控制、读取、写入、创建所有子对象、删除子对象 |
|
Enterprise Admins |
允许:完全控制、读取、写入、创建所有子对象、删除子对象 |
|
企业域控制器 |
允许:完全控制、读取、写入、创建所有子对象、删除子对象、特殊权限 |
|
Everyone |
允许:读取、特殊权限 |
|
Windows 2000 以前版本兼容的访问 |
允许:特殊权限 |
|
系统 |
允许:完全控制、读取、写入、创建所有子对象、删除子对象 |
有关详细信息,请参阅修改目录集成区域的安全性。
在域控制器(拥有存储在 AD DS 中的区域)上运行的 DNS 服务器服务使用 Active Directory 对象和属性,将其数据存储到 AD DS 中。在 DNS Active Directory 对象上配置 DACL 与在 DNS 管理器中的 DNS 区域上配置 DACL 效果相同。因此,Active Directory 对象的安全管理员和 DNS 数据的安全管理员应保持直接联系,以确保这些管理员相互之间的安全设置不颠倒。
下表说明了 DNS 区域数据使用的 Active Directory 对象和属性。
| 对象 | 描述 |
|---|---|
|
DnsZone |
该容器是在区域存储到 AD DS 中时创建的。 |
|
DnsNode |
叶对象用于将区域中的名称映射并关联到资源数据。 |
|
DnsRecord |
dnsNode 对象的此多值属性用于存储与命名节点对象关联的资源记录。 |
|
DnsProperty |
dnsZone 对象的此多值属性用于存储区域配置信息。 |
限制区域传输
默认情况下,DNS 服务器服务仅允许将区域信息传输到某个区域的名称服务器 (NS) 资源记录中列出的服务器。这是一种安全配置,但是为了提高安全性,应当将该设置更改为允许向指定 IP 地址进行区域传输的选项。更改该设置以允许向任何服务器进行区域传输,会将您的 DNS 数据暴露给尝试跟踪您的网络足迹的攻击者。
有关详细信息,请参阅修改区域传送设置。
了解区域委派涉及的危害
在决定是否将 DNS 域名委派给单独管理的 DNS 服务器上的区域时,重要的是考虑使多人能够管理网络 DNS 数据的安全意义。DNS 区域委派需要权衡考虑对所有 DNS 数据使用一个权威 DNS 服务器的安全优势,以及将 DNS 命名空间的责任分散给不同管理员的管理优势。在委派专用 DNS 命名空间的顶级域时,该问题非常重要,因为这些域包含非常敏感的 DNS 数据。
有关详细信息,请参阅了解区域委派。