(0) exportieren Drucken
Alle erweitern

Sichern des DNS-Serverdiensts

Betrifft: Windows Server 2008 R2

Verwenden Sie die folgenden Richtlinien, um die DNS-Server (Domain Name System) in Ihrem Netzwerk zu sichern.

Überprüfen und konfigurieren Sie die Standardeinstellungen für den DNS-Serverdienst, die sich auf die Sicherheit auswirken

Die folgenden Konfigurationsoptionen für den DNS-Serverdienst beeinflussen die Sicherheit des Standarddiensts und des in Active Directory-integrierten DNS-Serverdiensts.

 

Standardeinstellung Beschreibung

Schnittstellen

Ein DNS-Serverdienst, der auf einem mehrfach vernetzten Computer ausgeführt wird, ist standardmäßig für die Überwachung von DNS-Abfragen auf all seinen IP-Adressen konfiguriert. Beschränken Sie die IP-Adressüberwachung durch den DNS-Serverdienst auf die IP-Adresse, die von den DNS-Clients des Servers als bevorzugter DNS-Server verwendet wird.

Weitere Informationen finden Sie unter Einschränken der Überwachung durch einen DNS-Server auf ausgewählte Adressen.

Cache vor Beschädigungen sichern

Der DNS-Serverdienst ist standardmäßig vor Cacheverunreinigungen geschützt, die auftreten können, wenn DNS-Abfrageantworten nicht autorisierende oder schädliche Daten enthalten. Die Option Cache vor Beschädigungen sichern verhindert, dass ein Angreifer den Cache eines DNS-Servers mit Ressourceneinträgen verunreinigt, die nicht vom DNS-Server angefordert wurden. Durch Änderung dieser Standardeinstellung wird die Integrität der Antworten beeinträchtigt, die vom DNS-Serverdienst bereitgestellt werden.

Weitere Informationen finden Sie unter Sichern des Servercaches vor Verunreinigung durch Namen.

Rekursion deaktivieren

Die Rekursion ist für den DNS-Serverdienst standardmäßig nicht aktiviert. Dadurch kann der DNS-Server im Namen seiner DNS-Clients sowie im Namen von DNS-Servern, die DNS-Clientabfragen an ihn weiterleiten, rekursive Abfragen durchführen. Die Rekursion kann von Angreifern verwendet werden, um den DNS-Serverdienst zu verweigern. Wenn ein DNS-Server in Ihrem Netzwerk keine rekursiven Abfragen empfangen soll, sollte die Rekursion daher deaktiviert werden.

Weitere Informationen finden Sie unter Deaktivieren der Rekursion auf dem DNS-Server.

Stammhinweise

Wenn Ihre DNS-Infrastruktur einen internen DNS-Stamm aufweist, konfigurieren Sie die Stammhinweise auf Ihren internen DNS-Servern so, dass sie nur auf die DNS-Server verweisen, die als Hosts für Ihre Stammdomäne dienen, und nicht auf die DNS-Server, die als Hosts für die Internetstammdomäne verwendet werden. Dadurch wird verhindert, dass Ihre internen DNS-Server bei der Namensauflösung private Informationen über das Internet versenden.

Weitere Informationen finden Sie unter Aktualisieren von Stammhinweisen auf dem DNS-Server und unter Aktualisieren von Stammhinweisen.

Verwalten der DACL für DNS-Server, die auf Domänencontrollern ausgeführt werden

DNS-Server, die als Domänencontroller konfiguriert sind, verwenden zusätzlich zu den bereits beschriebenen Standardeinstellungen für den DNS-Serverdienst, die sich auf die Sicherheit auswirken, eine freigegebenen Zugriffssteuerungsliste (Discretionary Access Control List, DACL). Mithilfe der DACL können Sie die Berechtigungen für die Active Directory-Benutzer und -Gruppen steuern, die den DNS-Serverdienst steuern dürfen.

In der folgenden Tabelle sind die Standardgruppennamen oder -benutzernamen sowie die Berechtigungen für den DNS-Serverdienst auf einem Domänencontroller aufgeführt.

 

Gruppen- oder Benutzernamen Berechtigungen

Administratoren

Zulassen: Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Spezielle Berechtigungen

Ersteller-Besitzer

Spezielle Berechtigungen

DnsAdmins

Zulassen: Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen, Spezielle Berechtigungen

Domänen-Admins

Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen

Organisations-Admins

Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen

Unternehmensdomänencontroller

Zulassen: Spezielle Berechtigungen

Prä-Windows 2000 kompatibler Zugriff

Zulassen: Spezielle Berechtigungen

System

Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen

Wenn der DNS-Serverdienst auf einem Domänencontroller ausgeführt wird, können Sie seine DACL mithilfe des Active Directory-Objekts MicrosoftDNS verwalten. Das Konfigurieren der DACL für das Objekt MicrosoftDNS hat dieselbe Wirkung wie das Konfigurieren der DACL auf dem DNS-Server im DNS-Manager. Dies ist die empfohlene Methode. Daher sollten die Sicherheitsadministratoren für Active Directory-Objekte und die Sicherheitsadministratoren für DNS-Server miteinander in direktem Kontakt stehen, um sicherzustellen, dass keiner die Sicherheitseinstellungen des Anderen umkehrt.

Weitere Informationen finden Sie unter Sicherheitsinformationen für DNS.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft