(0) exportieren Drucken
Alle erweitern

Sichern von DNS-Zonen

Betrifft: Windows Server 2008 R2

Die DNS-Zonenkonfigurationsoptionen (Domain Name System) in den folgenden Abschnitten beeinflussen die Sicherheit der Standardzonen und der Active Directory-integrierten DNS-Zonen.

Konfigurieren von sicheren dynamischen Updates

Die Einstellung Dynamische Updates ist standardmäßig nicht für das Zulassen dynamischer Updates konfiguriert. Dies ist die sicherste Einstellung, da Angreifer auf diese Weise keine DNS-Zonenupdates durchführen können. Diese Einstellung verhindert jedoch, dass Sie die Vorteile nutzen können, die dynamische Updates für die Verwaltung bieten. Wenn Sie Ihre Computer so konfigurieren möchten, dass DNS-Daten auf sichere Weise aktualisiert werden, müssen Sie die DNS-Zonen in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) speichern und das Feature für sichere dynamische Updates verwenden. Sichere dynamische Updates beschränken die DNS-Zonenupdates auf Computer, die authentifiziert wurden und Mitglieder der Active Directory-Domäne sind, in der sich der DNS-Server befindet, sowie auf spezielle Sicherheitseinstellungen, die in den Zugriffssteuerungslisten (Access Control Lists, ACLs) für die DNS-Zone definiert sind.

Weitere Informationen finden Sie unter Zulassen von ausschließlich sicheren dynamischen Updates.

Verwalten der DACL für die DNS-Zonen, die in AD DS gespeichert sind

Mithilfe der freigegebenen Zugriffssteuerungsliste (Discretionary Access Control List, DACL) können Sie die Berechtigungen für die Active Directory-Benutzer und -Gruppen überwachen, die DNS-Zonen überwachen dürfen.

In der folgenden Tabelle sind die Standardgruppennamen oder -benutzernamen und die Berechtigungen für DNS-Zonen aufgeführt, die in AD DS gespeichert sind.

 

Gruppen- oder Benutzernamen Berechtigungen

Administratoren

Zulassen: Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Spezielle Berechtigungen

Authentifizierte Benutzer

Zulassen: Alle untergeordneten Objekte erstellen

Ersteller-Besitzer

Spezielle Berechtigungen

DnsAdmins

Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen, Spezielle Berechtigungen

Domänen-Admins

Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen

Organisations-Admins

Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen

Unternehmensdomänencontroller

Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen, Spezielle Berechtigungen

Jeder

Zulassen: Lesen, Spezielle Berechtigungen

Prä-Windows 2000 kompatibler Zugriff

Zulassen: Spezielle Berechtigungen

System

Zulassen: Vollzugriff, Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Untergeordnete Objekte löschen

Weitere Informationen finden Sie unter Ändern der Sicherheit für eine Directory-integrierte Zone.

Der DNS-Serverdienst, der auf einem Domänencontroller ausgeführt wird, dessen Zonen in AD DS gespeichert sind, speichert seine Zonendaten mithilfe von Active Directory-Objekten und -Attributen in AD DS. Das Konfigurieren der DACL für das Active Directory-DNS-Objekt hat dieselbe Wirkung wie das Konfigurieren der DACL für die DNS-Zonen im DNS-Manager. Daher sollten die Sicherheitsadministratoren für Active Directory-Objekte und die Sicherheitsadministratoren für DNS-Daten miteinander in direktem Kontakt stehen, um sicherzustellen, dass keiner die Sicherheitseinstellungen des Anderen umkehrt.

In der folgenden Tabelle werden die Active Directory-Objekte und -Attribute beschrieben, die von DNS-Zonendaten verwendet werden.

 

Objekt Beschreibung

DnsZone

Dieser Container wird erstellt, wenn eine Zone in AD DS gespeichert wird.

DnsNode

Dieses Endknotenobjekt wird für die Zuordnung eines Namens zu Ressourcendaten in der Zone verwendet.

DnsRecord

Dieses Mehrfachwertattribut eines dnsNode-Objekts wird zur Speicherung der Ressourceneinträge verwendet, die mit dem benannten Knotenobjekt verknüpft sind.

DnsProperty

Dieses Mehrfachwertattribut eines dnsZone-Objekts wird zur Speicherung von Konfigurationsinformationen verwendet.

Beschränken von Zonenübertragungen

Der DNS-Serverdienst gestattet die Übertragung von Zoneninformationen standardmäßig nur für Server, die in den Namenserver-Ressourceneinträgen (NS) einer Zone aufgeführt sind. Dies ist eine sichere Konfiguration. Zur Erhöhung der Sicherheit sollte diese Einstellung jedoch so geändert werden, dass Zonenübertragungen an bestimmte IP-Adressen zulässig sind. Wenn Sie diese Einstellung so ändern, dass Zonenübertragungen an alle Server zulässig sind, erhalten Angreifer möglicherweise Zugriff auf Ihre DNS-Daten und können versuchen, Ihr Netzwerk mittels Footprinting zu untersuchen.

Weitere Informationen finden Sie unter Ändern der Einstellungen für die Zonenübertragung.

Kompromisse bei der Zonendelegierung

Bei der Entscheidung, ob DNS-Domänennamen an Zonen delegiert werden sollen, deren Hosts separat verwaltete DNS-Server darstellen, sollten Sie unbedingt bedenken, welche Auswirkungen es auf die Sicherheit hat, wenn mehrere Personen in der Lage sind, die DNS-Daten für Ihr Netzwerk zu verwalten. Bei der DNS-Zonendelegierung wird ein Kompromiss zwischen den Sicherheitsvorteilen, die sich aus der Verwendung eines einzelnen autorisierenden DNS-Servers für alle DNS-Daten ergeben, und den Verwaltungsvorteilen, die durch die Aufteilung der Verantwortung für Ihren DNS-Namespace auf verschiedene Administratoren entstehen, geschlossen. Dieser Aspekt ist sehr wichtig, wenn Sie die höchsten Domänen eines privaten DNS-Namespace delegieren, da diese Domänen sehr vertrauliche DNS-Daten enthalten.

Weitere Informationen finden Sie unter Grundlegendes zur Zonendelegierung.

Wiederherstellen von DNS-Zonendaten

Wenn Ihre DNS-Daten beschädigt sind, können Sie Ihre DNS-Zonendatei aus dem Sicherungsordner wiederherstellen, der sich im Ordner %systemroot%/DNS/Backup befindet. Wenn eine Zone erstellt wird, wird dem Sicherungsordner eine Kopie der Zone hinzugefügt. Zur Wiederherstellung der Zone können Sie die originale Zonendatei aus dem Sicherungsordner in den Ordner %systemroot%/DNS kopieren. Wenn Sie den Assistenten zum Erstellen neuer Zonen für die Erstellung einer Zone verwenden, geben Sie die Zonendatei im Ordner %systemroot%/DNS als Zonendatei für die neue Zone an. Weitere Informationen finden Sie unter Hinzufügen einer Forward-Lookupzone.

Dieser Vorgang gilt nur für Standardzonen, die nicht in AD DS gespeichert sind.

Weitere Informationen finden Sie unter Sicherheitsinformationen für DNS.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft