Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Hvorfor overveje dette
Hvis indstillingen for zoneoverførsel er konfigureret til at tillade zoneoverførsler til en hvilken som helst server, kan du sende dine DNS-zonedata (Domain Name System) til en rogue DNS-server. Disse eksponerede DNS-zonedata kan gøre dit netværk mere sårbart over for cyberangreb, fordi cyberattackers bruger disse DNS-zonedata til at hjælpe dem med at tilknytte dit netværk med hensyn til domænenavne, computernavne og IP-adresser for dine følsomme netværksressourcer.
Se en kundetekniker, der forklarer problemet
Kontekst og bedste praksis
Processen med replikering af en zonefil til flere DNS-servere kaldes zoneoverførsel. Zoneoverførsel opnås ved at kopiere zonefilen fra én DNS-server til en anden DNS-server. En primær DNS-server er kilden til zoneoplysningerne under en overførsel. Den primære DNS-server kan være en primær eller sekundær DNS-server. Hvis den primære DNS-server er en primær DNS-server, kommer zoneoverførslen direkte fra den DNS-server, der er vært for den primære zone. Hvis hovedserveren er en sekundær DNS-server, er den zonefil, der modtages fra den primære DNS-server ved hjælp af en zoneoverførsel, en kopi af den skrivebeskyttede sekundære zonefil.
DNS (Domain Name System) blev oprindeligt udviklet som en åben protokol og er derfor sårbar over for cyberattackers. DNS-servertjenesten tillader som standard kun, at zoneoplysninger overføres til servere, der er angivet i NS-ressourceposterne (name server) for en zone. Dette er en sikker konfiguration, men af hensyn til øget sikkerhed skal denne indstilling ændres til indstillingen for at tillade zoneoverførsler til angivne IP-adresser. Hvis denne indstilling ændres for at tillade zoneoverførsler til en hvilken som helst server, kan det udsætte dine DNS-data for en cyberattacker, der forsøger at bruge fodaftryk på dit netværk.
Fodaftryk er den proces, hvor DNS-zonedataene hentes af en cyberattacker for at forsyne cyberattackeren med DNS-domænenavne, computernavne og IP-adresser for følsomme netværksressourcer. En cyberattacker starter ofte et angreb ved hjælp af disse DNS-data til at oprette diagrammer over et netværk eller et fodaftryk. DNS-domæne- og computernavne angiver normalt funktionen eller placeringen af et domæne eller en computer for at hjælpe brugerne med lettere at huske og identificere domæner og computere. En cyberattacker udnytter det samme DNS-princip til at lære funktionen eller placeringen af domæner og computere i netværket at kende.
Gennemse følgende retningslinjer for konfiguration af zoneoverførsel fra et sikkerhedssynspunkt:
- Sikkerhed på lavt niveau: Alle DNS-zoner tillader zoneoverførsler til en hvilken som helst server.
- Sikkerhed på mellemniveau: Alle DNS-zoners grænsezoneoverførsler til servere, der er angivet i NS-ressourceposterne (Name Server) i deres zoner.
- Sikkerhed på højt niveau: Alle DNS-zoner begrænser zoneoverførsler til angivne IP-adresser.
Foreslåede handlinger
Hvis du vil konfigurere en DNS-zone til overførsel af sikker zone, skal du ændre indstillingen for zoneoverførsel til indstillingen for at tillade zoneoverførsler til bestemte IP-adresser ved at udføre følgende handlinger:
- Højreklik på navnet på DNS-zonen i DNS Manager, og klik på Egenskaber.
- Klik på Tillad zoneoverførsel under fanen Zoneoverførsler.
- Vælg Kun til følgende servere.
- Klik på Rediger, og angiv DEREFTER IP-adresserne på de servere, du vil angive, på listen over sekundære servere .
- Klik på OK, når du har angivet alle de påkrævede IP-adresser.
Du kan også bruge kommandolinjen dnscmd til at opnå det samme resultat.
- Åbn en kommandoprompt med administratorrettigheder.
- Skriv følgende kommando ved kommandoprompten, og tryk på Enter:
dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> /SecureList [<SecondaryIPAddress...>]
Det kan f.eks. være:
dnscmd dnssvr1.contoso.com /zoneresetsecondaries test.contoso.com /securelist 11.0.0.2
Få mere at vide
Du kan få mere at vide om, hvordan zoneoverførsler fungerer, under Om zoner og zoneoverførsel på https://technet.microsoft.com/library/cc781340(WS.10).aspx.
Du kan få flere oplysninger om, hvordan du konfigurerer zoneoverførsler, under Rediger indstillinger for zoneoverførsel på https://technet.microsoft.com/library/cc771652.aspx.