Nota
L'accés a aquesta pàgina requereix autorització. Podeu provar d'iniciar la sessió o de canviar els directoris.
L'accés a aquesta pàgina requereix autorització. Podeu provar de canviar els directoris.
Per què considerar això
Si la configuració de transferència de zona està configurada per permetre transferències de zona a qualsevol servidor, podeu enviar les dades de zona del sistema de noms de domini (DNS) a un servidor DNS no autoritzada. Aquestes dades exposades de la zona DNS podrien fer que la vostra xarxa sigui més vulnerable als ciberatacs, perquè els ciberatacants utilitzaran aquestes dades de la zona DNS per ajudar-los a mapejar la vostra xarxa en termes de noms de domini, noms d'ordinador i adreces IP dels vostres recursos de xarxa sensibles.
Mireu un enginyer de clients explicant el problema
Context i bones pràctiques
El procés de replicar un fitxer de zona a diversos servidors DNS s'anomena transferència de zona. La transferència de zona s'aconsegueix copiant el fitxer de zona d'un servidor DNS a un segon servidor DNS. Un servidor DNS principal és la font de la informació de la zona durant una transferència. El servidor DNS principal pot ser un servidor DNS primari o secundari. Si el servidor DNS principal és un servidor DNS primari, la transferència de zona prové directament del servidor DNS que allotja la zona principal. Si el servidor principal és un servidor DNS secundari, el fitxer de zona rebut del servidor DNS principal mitjançant una transferència de zona és una còpia del fitxer de zona secundària només de lectura.
El sistema de noms de domini (DNS) es va dissenyar originalment com un protocol obert i, per tant, és vulnerable als ciberatacants. Per defecte, el servei de servidor DNS només permet transferir informació de zona als servidors llistats als registres de recursos del servidor de noms (NS) d'una zona. Aquesta és una configuració segura, però per augmentar la seguretat, aquesta configuració s'ha de canviar a l'opció per permetre transferències de zona a adreces IP especificades. Si es canvia aquesta configuració per permetre transferències de zona a qualsevol servidor, pot exposar les vostres dades DNS a un ciberatacant que intenti empremtar la vostra xarxa.
La petjada és el procés mitjançant el qual un ciberatacant obté les dades de la zona DNS per proporcionar al ciberatacant els noms de domini DNS, els noms d'ordinador i les adreces IP dels recursos de xarxa sensibles. Un ciberatacant sol iniciar un atac utilitzant aquestes dades DNS per diagramar o empremta una xarxa. Els noms de domini i ordinador DNS solen indicar la funció o la ubicació d'un domini o ordinador per ajudar els usuaris a recordar i identificar dominis i ordinadors més fàcilment. Un ciberatacant aprofita el mateix principi DNS per aprendre la funció o la ubicació dels dominis i ordinadors de la xarxa.
Reviseu les directrius següents per a la configuració de la transferència de zona des del punt de vista de la seguretat:
- Seguretat de baix nivell: totes les zones DNS permeten transferències de zones a qualsevol servidor.
- Seguretat de nivell mitjà: totes les zones DNS limiten les transferències de zona als servidors llistats als registres de recursos del servidor de noms (NS) de les seves zones.
- Seguretat d'alt nivell: totes les zones DNS limiten les transferències de zona a adreces IP especificades.
Accions suggerides
Per configurar una zona DNS per a la transferència de zona segura, canvieu la configuració de transferència de zona per l'opció per permetre transferències de zona a adreces IP específiques realitzant les accions següents:
- Al gestor de DNS, feu clic amb el botó dret al nom de la zona DNS i feu clic a Propietats.
- A la pestanya Transferències de zona, feu clic a Permet la transferència de zona.
- Seleccioneu Només als servidors següents.
- Feu clic a Edita i, a la llista d'adreces IP dels servidors secundaris , introduïu les adreces IP dels servidors que voleu especificar.
- Quan hàgiu introduït totes les adreces IP necessàries, feu clic a D'acord.
També podeu utilitzar la línia d'ordres dnscmd per aconseguir el mateix resultat.
- Obriu un indicador d'ordres elevat.
- A l'indicador d'ordres, escriviu l'ordre següent i premeu Retorn:
dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> /SecureList [<SecondaryIPAddress...>]
Per exemple:
dnscmd dnssvr1.contoso.com /zoneresetsecondaries test.contoso.com /securelist 11.0.0.2
Més informació
Per obtenir més informació sobre com funcionen les transferències de zona, vegeu Entendre les zones i la transferència de zona, a https://technet.microsoft.com/library/cc781340(WS.10).aspx.
Per obtenir més informació sobre com configurar les transferències de zona, vegeu Modificar la configuració de la transferència de zona, a https://technet.microsoft.com/library/cc771652.aspx.