Бележка
Достъпът до тази страница изисква удостоверяване. Можете да опитате да влезете или да промените директориите.
Достъпът до тази страница изисква удостоверяване. Можете да опитате да промените директориите.
Защо да помислите за това
Ако настройката за прехвърляне на зони е конфигурирана да позволява прехвърляне на зони към всеки сървър, можете да изпратите данните за зоната на вашата система за имена на домейни (DNS) до измамен DNS сървър. Тези открити данни за DNS зона могат да направят вашата мрежа по-уязвима за кибератаки, тъй като кибернападателите ще използват тези данни от DNS зоната, за да им помогнат да картографират вашата мрежа по отношение на имената на домейни, компютърните имена и IP адресите на вашите чувствителни мрежови ресурси.
Гледайте как инженер по клиенти обяснява проблема
Контекст и най-добри практики
Процесът на репликация на файл на зона към множество DNS сървъри се нарича прехвърляне на зона. Прехвърлянето на зони се постига чрез копиране на файла на зоната от един DNS сървър на втори DNS сървър. Основният DNS сървър е източникът на информацията за зоната по време на трансфер. Основният DNS сървър може да бъде първичен или вторичен DNS сървър. Ако основният DNS сървър е първичен DNS сървър, тогава прехвърлянето на зоната идва директно от DNS сървъра, хостващ основната зона. Ако основният сървър е вторичен DNS сървър, тогава файлът на зоната, получен от основния DNS сървър чрез прехвърляне на зона, е копие на файла на вторичната зона само за четене.
Системата за имена на домейни (DNS) първоначално е проектирана като отворен протокол и следователно е уязвима за кибернападатели. По подразбиране услугата DNS сървър позволява прехвърлянето на информация за зоната само към сървъри, изброени в записите на ресурсите на сървъра за имена (NS) на дадена зона. Това е сигурна конфигурация, но за повишена сигурност тази настройка трябва да бъде променена на опцията за разрешаване на прехвърляне на зони към определени IP адреси. Ако тази настройка бъде променена, за да позволи прехвърляне на зони към който и да е сървър, това може да изложи вашите DNS данни на кибернападател, който се опитва да отпечата вашата мрежа.
Отпечатъкът е процесът, чрез който данните за DNS зоната се получават от кибернападателя, за да предостави на кибернападателя DNS имена на домейни, компютърни имена и IP адреси за чувствителни мрежови ресурси. Кибернападателят обикновено започва атака, като използва тези DNS данни за диаграма или отпечатък на мрежа. DNS имената на домейни и компютри обикновено показват функцията или местоположението на домейн или компютър, за да помогнат на потребителите да запомнят и идентифицират домейни и компютри по-лесно. Кибернападателят се възползва от същия принцип на DNS, за да научи функцията или местоположението на домейните и компютрите в мрежата.
Прегледайте следните указания за конфигуриране на прехвърляне на зони от гледна точка на сигурността:
- Ниско ниво на сигурност: Всички DNS зони позволяват прехвърляне на зони към всеки сървър.
- Средно ниво на сигурност: Всички DNS зони ограничават прехвърлянето на зони към сървъри, изброени в записите на ресурсите на сървъра за имена (NS) в техните зони.
- Високо ниво на сигурност: Всички DNS зони ограничават прехвърлянето на зони към определени IP адреси.
Предложени действия
За да конфигурирате DNS зона за прехвърляне на защитена зона, променете настройката за прехвърляне на зона на опцията за разрешаване на прехвърляне на зони към конкретни IP адреси, като изпълните следните действия:
- В DNS диспечера щракнете с десния бутон върху името на DNS зоната и щракнете върху Свойства.
- В раздела Прехвърляне на зони щракнете върху Разрешаване на прехвърляне на зона.
- Изберете Само на следните сървъри.
- Щракнете върху Редактиране, след което в списъка с IP адреси на вторичните сървъри въведете IP адресите на сървърите, които искате да посочите.
- Когато въведете всички необходими IP адреси, щракнете върху OK.
Можете също да използвате командния ред dnscmd, за да постигнете същия резултат.
- Отворете команден прозорец с администраторски права.
- В командния ред въведете следната команда и натиснете Enter:
dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> /SecureList [<SecondaryIPAddress...>]
Например:
DNSCMD dnssvr1.contoso.com /zoneresetsecondary test.contoso.com /securelist 11.0.0.2
Научете повече
За повече информация как работи прехвърлянето на зони вижте Разбиране на зоните и прехвърлянето на зони, на https://technet.microsoft.com/library/cc781340(WS.10).aspxадрес .
За повече информация как да конфигурирате прехвърляне на зони, вижте Промяна на настройките за прехвърляне на зони, на https://technet.microsoft.com/library/cc771652.aspxадрес .