[an error occurred while processing this directive] Обеспечение безопасности службы DNS-сервера

[an error occurred while processing this directive]

Чтобы улучшить безопасность DNS-серверов в сети, придерживайтесь следующих правил.

Изучение и настройка параметров службы DNS-сервера по умолчанию, которые влияют на безопасность

Следующие параметры конфигурации службы DNS-сервера влияют на безопасность как стандартной службы DNS-сервера, так и службы, интегрированной в Active Directory.

Параметр по умолчанию Описание

Интерфейсы

По умолчанию служба DNS-сервера, которая работает на многосетевом компьютере, настроена на прослушивание DNS-запросов по всем своим IP-адресам. Можно ограничить IP-адреса, которые прослушивает служба DNS-сервера, одним IP-адресом, используемым DNS-клиентами в качестве основного DNS-сервера.

Дополнительные сведения см. в разделе Ограничение DNS-сервера для прослушивания только выбранных адресов.

Обеспечение безопасности кэша для предотвращения повреждения

По умолчанию повреждение кэша не представляет опасности для службы DNS-сервера; это повреждение происходит при содержании в DNS-запросе не заслуживающих доверия или вредоносных данных. Параметр Включить безопасный кэш способствует предотвращению успешного повреждения злоумышленником кэша DNS-сервера путем помещения туда записей ресурсов, которые не были запрошены DNS-сервером. Изменение этого параметра по умолчанию приводит к уменьшению целостности ответов, предоставляемых службой DNS-сервера.

Дополнительные сведения см. в разделе Обеспечение безопасности кэша сервера для предотвращения повреждения имен.

Отключение рекурсии

По умолчанию в службе DNS-сервера рекурсия не отключена. Это позволяет DNS-серверу выполнять рекурсивные запросы от имени своих DNS-клиентов и DNS-серверов, которые переслали запросы своих DNS-клиентов на этот сервер. Рекурсия может быть использована злоумышленниками для отказа DNS-сервером в обслуживании. Поэтому если DNS-сервер в сети не должен получать рекурсивные запросы, рекурсия должна быть отключена.

Дополнительные сведения см. в разделе Отключение рекурсии на DNS-сервере

Корневые ссылки

Если имеется внутренний корень DNS в инфраструктуре DNS, настройте корневые ссылки внутренних DNS-серверов на указание только тех DNS-серверов, в которых размещается корневой домен, а не DNS-серверов, содержащих корневой домен Интернета. Это способствует предотвращению отправки внутренними DNS-серверами конфиденциальных сведений через Интернет во время разрешения имен.

Дополнительные сведения см. в разделах Обновление корневых ссылок на DNS-сервере и Обновление корневых ссылок.

Управление списком управления доступом на уровне пользователей на DNS-серверах, работающих на контроллерах домена

Кроме описанных параметров службы DNS-сервера по умолчанию, которые влияют на безопасность, в DNS-серверах, настроенных как контроллеры домена, используется список управления доступом на уровне пользователей (DACL). Этот список используется для управления разрешениями, предназначенными для пользователей и групп Active Directory, которые могут управлять службой DNS-сервера.

В следующей таблице приведены имена пользователей и групп по умолчанию, а также разрешения для службы DNS-сервера при ее функционировании на контроллере домена.

Группы или пользователи Разрешения

Администраторы

Разрешить: чтение, запись, создание всех дочерних объектов, особые разрешения

Создатель-владелец

особые разрешения

DnsAdmins

Разрешить: чтение, запись, создание всех дочерних объектов, удаление дочерних объектов, особые разрешения

Администраторы домена

Разрешить: полный доступ, чтение, запись, создание всех дочерних объектов, удаление дочерних объектов

Администраторы предприятия

Разрешить: полный доступ, чтение, запись, создание всех дочерних объектов, удаление дочерних объектов

Контроллеры домена предприятия

Разрешить: особые разрешения

Пред-Windows 2000 доступ

Разрешить: особые разрешения

Системный

Разрешить: полный доступ, чтение, запись, создание всех дочерних объектов, удаление дочерних объектов

Если служба DNS-сервера работает на контроллере домена, можно управлять ее списком управления доступом на уровне пользователей с помощью объекта Active Directory MicrosoftDNS. Настройка списка DACL в объекте MicrosoftDNS приводит к тем же результатам, что и настройка DACL на DNS-сервере в диспетчере DNS, то есть настройка рекомендуемым методом. Соответственно, администраторы безопасности объектов Active Directory и администраторы DNS-серверов должны тесно взаимодействовать, чтобы не сбрасывать параметры безопасности, установленные другими администраторами.

Дополнительные сведения см. в разделе Сведения о безопасности для DNS.


[an error occurred while processing this directive]