Dışarıya aktar (0) Yazdır
Tümünü Genişlet

DNS Sunucusu Hizmetinin Güvenliğini Sağlama

Uygulama Alanı: Windows Server 2008 R2

Ağınızdaki Etki Alanı Adı Sistemi (DNS) sunucularının güvenliğini sağlamak için aşağıdaki yönergeleri kullanın.

DNS Sunucusu hizmetinin güvenliği etkileyen varsayılan ayarlarını inceleme ve yapılandırma

DNS Sunucusu hizmetinin aşağıdaki yapılandırma seçenekleri, hem standart hem de Active Directory ile tümleşik DNS Sunucusu hizmeti için güvenlik uygulamalarında kullanılabilir.

 

Varsayılan ayar Description

Arabirimler

Birden çok ana bilgisayara bağlı bir bilgisayarda çalışan DNS Sunucusu hizmeti varsayılan olarak tüm IP adreslerini kullanarak DNS sorgularını dinleyecek biçimde yapılandırılmıştır. DNS Sunucusu hizmetinin dinlediği IP adreslerini, DNS istemcilerinin tercih edilen DNS sunucusu olarak kullandığı IP adresiyle sınırlandırın.

Daha fazla bilgi için, bkz. DNS sunucusunu yalnızca seçilen adresleri dinlemeyle sınırlama.

Kirliliğe karşı önbelleği koru

DNS sorgusu yanıtları yetkili olmayan veya kötü amaçlı veriler içerdiğinde oluşan önbellek kirliliğine karşı varsayılan olarak DNS Sunucusu hizmetinin güvenliği sağlanır. Kirliliğe karşı önbelleği koru seçeneği, bir saldırganın DNS sunucusu tarafından istenmeyen kaynak kayıtlarıyla bir DNS sunucusunun önbelleğini kirletmesini engeller. Bu varsayılan ayarı değiştirmek, DNS Sunucusu hizmeti tarafından sağlanan yanıtların bütünlüğünü azaltır.

Daha fazla bilgi için bkz. Sunucu Önbelleğini Ad Kirliliğine Karşı Koruma.

Özyinelemeyi devre dışı bırak

Özyineleme, DNS Sunucusu hizmeti için varsayılan olarak devre dışı değildir. Böylece DNS sunucusu, DNS istemcileri ve DNS istemci sorgularını kendisine ileten DNS sunucuları adına özyinelemeli sorgular gerçekleştirebilir. Özyineleme, DNS Sunucusu hizmetini reddetmek için saldırganlar tarafından kullanılabilir. Bu nedenle, ağınızdaki bir DNS sunucusunun özyinelemeli sorgular alması planlanmıyorsa, bu özellik devre dışı bırakılmalıdır.

Daha fazla bilgi için bkz. DNS Sunucusunda Özyinelemeyi Devre Dışı Bırakma

Kök ipuçları

DNS altyapınızda bir iç DNS kökü varsa, iç DNS sunucularının kök ipuçlarını, yalnızca kök etki alanınızı barındıran DNS sunucularına işaret edecek biçimde yapılandırın; Internet kök etki alanını barındıran DNS sunucularını işaret edecek biçimde yapılandırmayın. Bu, iç DNS sunucularınızın ad çözümlemesi yaparken özel bilgileri Internet üzerinden göndermesini engeller.

Daha fazla bilgi için bkz. DNS Sunucusundaki Kök İpuçlarını Güncelleştirme ve Kök İpuçlarını Güncelleştirme.

Etki alanı denetleyicilerinde çalışan DNS sunucularında DACL'yi yönetme

Etki alanı denetleyicileri olarak yapılandırılan DNS sunucuları yukarıda açıklanan varsayılan DNS Sunucusu hizmeti ayarlarının yanı sıra, sınırsız erişim denetimi listesi (DACL) kullanır. DNS Sunucusu hizmetini denetleyen Active Directory kullanıcılarının ve gruplarının izinlerini DACL kullanarak denetleyebilirsiniz.

Aşağıdaki tablolarda, bir etki alanı denetleyicisinde çalışan DNS Sunucusu hizmetinin varsayılan grup veya kullanıcı adları ve izinleri listelenmektedir.

 

Grup veya kullanıcı adları İzinler

Yöneticiler

İzin Ver: Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Özel İzinler

Oluşturan Sahibi

Özel İzinler

DnsAdmins

İzin Ver: Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Tüm Bağımlı Nesneleri Sil, Özel İzinler

Etki Alanı Yöneticileri

İzin Ver: Tam Denetim, Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Tüm Bağımlı Nesneleri Sil

Şirket Yöneticileri

İzin Ver: Tam Denetim, Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Tüm Bağımlı Nesneleri Sil

Kuruluş Etki Alanı Denetleyicileri

İzin Ver: Özel İzinler

Windows 2000 Öncesi Uyumluluk Erişimi

İzin Ver: Özel İzinler

Sistem

İzin Ver: Tam Denetim, Okuma, Yazma, Tüm Bağımlı Nesneleri Oluştur, Tüm Bağımlı Nesneleri Sil

DNS Sunucusu hizmeti bir etki alanı denetleyicisinde çalışıyorsa, MicrosoftDNS adlı Active Directory nesnesini DACL'sini yönetebilirsiniz. MicrosoftDNS nesnesinde DACL'yi yapılandırmak, DNS Yöneticisi'nde DNS sunucusu için DACL'yi yapılandırmayla aynı etkiye sahiptir ve önerilen yöntem budur. Dolayısıyla, yöneticilerin birbirinin güvenlik ayarlarını etkilememesini sağlamak için, Active Directory nesnelerinin ve DNS sunucularının güvenlik yöneticileri doğrudan iletişim halinde olmalıdır.

Daha fazla bilgi için bkz. DNS Güvenlik Bilgileri.

Bunu faydalı buldunuz mu?
(1500 karakter kaldı)
Geri bildiriminiz için teşekkür ederiz

Topluluk İçeriği

Ekle
Show:
© 2014 Microsoft