(0) exportieren Drucken
Alle erweitern

Prüfliste: Sichern des DNS-Servers

Betrifft: Windows Server 2008, Windows Server 2008 R2

Bei DNS-Servern (Domain Name System), die mit dem Internet verbunden sind, ist es besonders wichtig, dass die DNS-Infrastruktur vor Angriffen von Außen – oder auch vor Angriffen innerhalb des Unternehmens – geschützt wird. Wenn Ihr DNS-Server in Active Directory-Domänendienste (Active Directory Domain Services, AD DS) integriert ist, können Sie diesen für die Verwendung von sicheren dynamischen Updates konfigurieren, um unautorisierte Änderungen an den DNS-Daten zu verhindern. Mithilfe zusätzlicher Schritte können Sie das Risiko verringern, dass ein Angreifer die Integrität Ihrer DNS-Infrastruktur beeinträchtigt.

 

Aufgabe Verweis

Legen Sie fest, welche DNS-Sicherheitsbedrohungen in Ihrer Umgebung von größter Bedeutung sind, und bestimmen Sie die erforderliche Sicherheitsstufe.

Sicherheitsinformationen für DNS

Wenn Sie verhindern möchten, dass unternehmensfremde Personen interne Netzwerkinformationen abrufen, sollten Sie für die interne und die Internetnamensauflösung separate DNS-Server verwenden. Als Hosts für Ihren internen DNS-Namespace sollten nur DNS-Server hinter der Firewall für Ihr Netzwerk dienen. Ihre externe Internet-DNS-Präsenz sollte von einem DNS-Server in einem Perimeternetzwerk verwaltet werden. Zur Bereitstellung einer Internetnamensauflösung für interne Hosts können Sie Ihre internen DNS-Server als Weiterleitung zum Senden von externen Abfragen an Ihren externen DNS-Server verwenden. Konfigurieren Sie Ihren externen Router und die Firewall so, dass ausschließlich DNS-Datenverkehr zwischen Ihren internen und externen DNS-Servern zugelassen wird.

Grundlegendes zu Weiterleitungen;

Verwenden von Weiterleitungen

Wenn die Zonenübertragung für die DNS-Server in Ihrem Netzwerk, die mit dem Internet verbunden sind, aktiviert werden muss, beschränken Sie die DNS-Zonenübertragungen entweder auf DNS-Server, die in der Zone durch Namenserver-Ressourceneinträge (NS) identifiziert sind, oder auf bestimmte DNS-Server in Ihrem Netzwerk.

Ändern der Einstellungen für die Zonenübertragung

Wenn der Server, auf dem der DNS-Serverdienst ausgeführt wird, ein mehrfach vernetzter Computer ist, beschränken Sie den DNS-Serverdienst auf die Überwachung der Schnittstellen-IP-Adresse, die von seinen DNS-Clients und den internen Servern verwendet wird. Ein als Proxyserver verwendeter Server kann beispielsweise über zwei Netzwerkadapter verfügen: einen für das Intranet und einen für das Internet. Wenn auf diesem Server auch der DNS-Serverdienst ausgeführt wird, können Sie den Dienst auf die Überwachung des DNS-Datenverkehrs der IP-Adresse beschränken, die vom Intranet-Netzwerkadapter verwendet wird.

Konfigurieren von mehrfach vernetzten Servern;

Einschränken der Überwachung durch einen DNS-Server auf ausgewählte Adressen

Stellen Sie sicher, dass die Standardserveroptionen, die die Caches aller DNS-Server vor Namenverunreinigung schützen, nicht geändert wurden. Eine Namenverunreinigung tritt auf, wenn DNS-Abfrageantworten nicht autorisierende oder schädliche Daten enthalten.

Sichern des Servercaches vor Verunreinigung durch Namen

Gestatten Sie nur sichere dynamische Updates für alle DNS-Zonen. Dadurch wird sichergestellt, dass nur authentifizierte Benutzer DNS-Updates auf sicherem Weg übermitteln können, und somit verhindert, dass die IP-Adressen vertrauenswürdiger Hosts von einem Angreifer missbräuchlich verwendet werden.

Grundlegendes zu dynamischen Updates;

Zulassen von ausschließlich sicheren dynamischen Updates

Deaktivieren Sie die Rekursion auf DNS-Servern, die DNS-Clients nicht direkt antworten und für die keine Weiterleitungen konfiguriert sind. Ein DNS-Server benötigt die Rekursion nur zur Beantwortung von rekursiven Abfragen von DNS-Clients oder wenn für ihn eine Weiterleitung konfiguriert ist. DNS-Server verwenden iterative Abfragen zur Kommunikation untereinander.

Deaktivieren der Rekursion auf dem DNS-Server

Wenn Sie über einen privaten, internen DNS-Namespace verfügen, konfigurieren Sie die Stammhinweise auf Ihren internen DNS-Servern so, dass sie nur auf die DNS-Server verweisen, die als Hosts für Ihre interne Stammdomäne dienen, und nicht auf die DNS-Server, die als Hosts für die Internetstammdomäne verwendet werden.

Aktualisieren von Stammhinweisen;

Aktualisieren von Stammhinweisen auf dem DNS-Server

Wenn der Server, auf dem der DNS-Serverdienst ausgeführt wird, ein Domänencontroller ist, verwenden Sie die Active Directory-Zugriffssteuerungslisten (Access Control Lists, ACLs) zur sicheren Zugriffssteuerung für den DNS-Serverdienst.

Ändern der Sicherheit für den DNS-Serverdienst auf einem Domänencontroller

Verwenden Sie nur AD DS-integrierte DNS-Zonen. DNS-Zonen, die in AD DS gespeichert sind, können die Active Directory-Sicherheitsfeatures, z. B. sichere dynamische Updates und die Anwendung der AD DS-Sicherheitseinstellungen auf DNS-Server, Zonen und Ressourceneinträge, nutzen.

Wenn eine DNS-Zone nicht in AD DS gespeichert ist, sichern Sie die DNS-Zonendatei durch Änderung der Berechtigungen in der DNS-Zonendatei oder durch Änderung der Berechtigungen für den Ordner, in dem Sie Zonendateien gespeichert sind. Die Zonendatei- oder Ordnerberechtigungen sollten so konfiguriert werden, dass nur die Gruppe System über Vollzugriff verfügt. Standardmäßig werden Zonendateien im Ordner %systemroot%\System32\Dns gespeichert.

Grundlegendes zur Integration in Active Directory-Domänendienste;

Konfigurieren eines DNS-Servers für die Verwendung mit Active Directory-Domänendienste

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft