為協助設定網路中的網域名稱系統 (DNS) 伺服器安全性,請使用下列指導方針。
檢查及設定影響安全性的預設 DNS 伺服器服務設定
下列針對 DNS 伺服器服務的設定選項,對於標準及 Active Directory 整合的 DNS 伺服器服務有安全性影響。
預設值 | 描述 |
---|---|
介面 |
根據預設,在多重主目錄電腦上執行的 DNS 伺服器服務,是設定為使用其所有 IP 位址接聽 DNS 查詢。將 DNS 伺服器服務接聽的 IP 位址限制為其 DNS 用戶端做為慣用 DNS 伺服器的 IP 位址。 如需相關資訊,請參閱限制 DNS 伺服器只在選取的位址上接聽。 |
保護快取以防侵害 |
根據預設,DNS 伺服器服務會受到保護以防快取侵害,而這種侵害是由於 DNS 查詢回應包含未授權或惡意的資料。[保護快取以防侵害] 選項可協助防止攻擊者以 DNS 伺服器未要求的資源記錄達到侵害 DNS 伺服器快取的目的。變更這個預設值可減少 DNS 伺服器服務提供的回應完整性。 如需相關資訊,請參閱設定伺服器快取安全性以防止名稱侵害。 |
停用遞迴 |
根據預設,不會停用 DNS 伺服器服務的遞迴。這使得 DNS 伺服器能夠代表其 DNS 用戶端以及已將 DNS 用戶端查詢轉送給它的 DNS 伺服器,執行遞迴查詢。攻擊者可能使用遞迴以拒絕 DNS 伺服器服務。因此,如果網路中的 DNS 伺服器不是用於接收遞迴查詢,則應該停用遞迴。 如需相關資訊,請參閱停用 DNS 伺服器上的遞迴功能。 |
根目錄提示 |
如果 DNS 基礎結構中含有內部 DNS 根目錄,請將內部 DNS 伺服器的根目錄提示設定成僅指向裝載根網域的 DNS 伺服器,而不是裝載網際網路根網域的 DNS 伺服器。這可防止內部 DNS 伺服器在解析名稱時,透過網際網路傳送個人資訊。 如需相關資訊,請參閱更新 DNS 伺服器上的根目錄提示以及更新根目錄提示。 |
管理網域控制站上執行的 DNS 伺服器之 DACL
除了已經描述的預設 DNS 伺服器服務設定會影響安全性之外,已設定為網域控制站的 DNS 伺服器會使用判別存取控制清單 (DACL)。您可以使用 DACL,為可控制 DNS 區域的 Active Directory 使用者及群組控制權限。
下表列出 DNS 伺服器服務在網域控制站上執行時的預設群組或使用者名稱與權限。
群組或使用者名稱 | 權限 |
---|---|
Administrators |
允許:讀取、寫入、建立所有的子物件、特殊權限 |
Creator Owner |
特殊權限 |
DnsAdmins |
允許:讀取、寫入、建立所有的子物件、刪除子物件、特殊權限 |
Domain Admins |
允許:完全控制、讀取、寫入、建立所有的子物件、刪除子物件 |
Enterprise Admins |
允許:完全控制、讀取、寫入、建立所有的子物件、刪除子物件 |
Enterprise Domain Controllers |
允許:特殊權限 |
Pre-Windows 2000 Compatible Access |
允許:特殊權限 |
System |
允許:完全控制、讀取、寫入、建立所有的子物件、刪除子物件 |
當 DNS 伺服器服務在網域控制站上執行時,您可以使用 Active Directory 物件 MicrosoftDNS 管理其 DACL。在 MicrosoftDNS 物件上設定 DACL 與在 DNS 管理員中的 DNS 伺服器上設定 DACL (建議的方式) 具有相同的效果。因此,Active Directory 物件與 DNS 伺服器的安全性管理員應該要直接連絡,以確保系統管理員不會回復彼此的安全性設定。
如需相關資訊,請參閱 DNS 的安全性資訊。