特別是在網際網路方向的網域名稱系統 (DNS) 伺服器案例中,請務必確定 DNS 基礎結構不會受到組織外面或甚至是內部的攻擊。您可以設定與 Active Directory 網域服務 (AD DS) 整合的 DNS 伺服器,使用安全動態更新,防止對 DNS 資料做出未經授權的修改。還可以採取其他步驟,讓攻擊者危及 DNS 基礎結構完整性的機會降低。
| 工作 | 參考資料 |
|---|---|
|
判斷對環境而言最重大的 DNS 安全性威脅,並決定所需的安全性等級。 |
|
|
若要協助防止公司外部的任何人取得內部網路資訊,請使用不同的 DNS 伺服器進行內部及網際網路名稱解析。內部的 DNS 命名空間應該裝載在網路防火牆之後的 DNS 伺服器。外部的網際網路 DNS 應該由周邊網路的 DNS 伺服器管理。若要為內部主機提供網際網路名稱解析,您可以讓內部 DNS 伺服器使用轉寄站,將外部查詢傳送到外部 DNS 伺服器。設定外部路由器與防火牆,只允許內部和外部 DNS 伺服器間的 DNS 流量。 |
|
|
對於公開在網際網路上的網路 DNS 伺服器,如果必須啟用區域轉送,請限制 DNS 區域只能轉送至由名稱伺服器 (NS) 資源記錄在區域中識別的 DNS 伺服器,或是網路中特定的 DNS 伺服器。 |
|
|
如果執行 DNS 伺服器服務的伺服器是多重主目路電腦,請限制 DNS 伺服器服務只接聽其 DNS 用戶端及內部伺服器所使用的介面 IP 位址。例如,做為 proxy 伺服器的伺服器可能有兩張網路介面卡,一張使用於內部網路,另一張使用於網際網路。如果那台伺服器也執行 DNS 伺服器服務,您可以設定該服務只針對內部網路介面卡所使用的 IP 位址接聽 DNS 流量。 |
|
|
確定保護所有 DNS 伺服器快取以防發生名稱侵害的預設伺服器選項並未變更。當 DNS 查詢回應包含未經授權或惡意資料時,就會發生名稱侵害。 |
|
|
只允許所有 DNS 區域的安全動態更新。這樣可確保只有經過驗證的使用者才能使用安全的方法提交 DNS 更新,避免受信任主機的 IP 位址遭到攻擊者挾持。 |
|
|
停用 DNS 伺服器上的遞迴,該伺服器無法直接回應 DNS 用戶端且沒有設定轉寄站。DNS 伺服器只有在回應 DNS 用戶端的遞迴查詢或是已設定轉寄站時,才需要遞迴。DNS 伺服器會使用反覆查詢來相互通訊。 |
|
|
如果您具有私人的內部 DNS 命名空間,請在內部 DNS 伺服器上設定根目錄提示,僅指向裝載內部根網域的 DNS 伺服器,而非裝載網際網路根網域的 DNS 伺服器。 |
|
|
如果執行 DNS 伺服器服務的伺服器是網域控制站,請使用 Active Directory 存取控制清單,來保護 DNS 伺服器服務的存取控制。 |
|
|
僅使用 AD DS 整合 DNS 區域。儲存於 AD DS 中的 DNS 區域可以利用 Active Directory 安全性功能的優點,例如安全動態更新,以及將 AD DS 安全性設定套用至 DNS 伺服器、區域與資源記錄的能力。 如果 DNS 區域並未儲存在 AD DS 中,請修改 DNS 區域檔案或儲存區域檔案之資料夾的權限,來保護 DNS 區域檔案區域檔案或資料夾權限應設定為只允許 System 群組 [完全控制]。根據預設,區域檔案儲存在 %systemroot%\System32\Dns 資料夾中。 |