Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Warum sollte man dies in Betracht ziehen?
Wenn die Zonenübertragung so konfiguriert ist, dass Zonenübertragungen auf beliebige Server erlaubt sind, kann es passieren, dass Sie Ihre Domain Name System (DNS)-Zonendaten an nicht autorisierte DNS-Server senden. Diese verfügbar gemachten DNS-Zonendaten könnten Ihr Netzwerk anfälliger für Cyberangriffe machen, da Cyberangriffe diese DNS-Zonendaten verwenden, um ihnen dabei zu helfen, Ihr Netzwerk hinsichtlich der Domänennamen, Computernamen und IP-Adressen Ihrer vertraulichen Netzwerkressourcen zu ermitteln.
Schauen Sie einem Customer Engineer zu, der das Problem erklärt
Kontext und bewährte Vorgehensweisen
Der Vorgang der Replikation einer Zonendatei auf mehrere DNS-Server wird als Zonenübertragung bezeichnet. Eine Zonenübertragung erfolgt durch Kopieren der Zonendatei von einem DNS-Server auf einen zweiten DNS-Server. Ein Haupt-DNS-Server dient als Quelle für die Zoneninformationen während einer Übertragung. Der Haupt-DNS-Server kann ein primärer oder sekundärer DNS-Server sein. Wenn der Haupt-DNS-Server ein primärer DNS-Server ist, erfolgt die Zonenübertragung direkt von dem DNS-Server, der die primäre Zone hostet. Wenn der Haupt-DNS-Server ein sekundärer DNS-Server ist, dann ist die Zonendatei, die vom Haupt-DNS-Server durch eine Zonenübertragung empfangen wird, eine Kopie der schreibgeschützten sekundären Zonendatei.
Domain Name System (DNS) wurde ursprünglich als offenes Protokoll konzipiert und ist daher anfällig für Cyberangriffe. Der DNS-Dienst lässt standardmäßig nur die Übertragung von Zoneninformationen auf Server zu, die in den NS-Ressourceneinträgen (Name Server) einer Zone aufgeführt sind. Dies ist eine sichere Konfiguration. Zur Verbesserung der Sicherheit sollte diese Einstellung jedoch so geändert werden, dass Zonenübertragungen nur an bestimmte IP-Adressen zugelassen sind. Wenn diese Einstellung geändert wird, um Zonenübertragungen an einen beliebigen Server zuzulassen, können Ihre DNS-Daten Cyberangriffen ausgesetzt werden, die versuchen, Ihr Netzwerk auszuspionieren.
Footprinting ist der Prozess, bei dem DNS-Zonendaten erlangt werden, um Cyberangriffe mit den DNS-Domänennamen, Computernamen und IP-Adressen sensibler Netzwerkressourcen zu versorgen. Ein Cyberangriff beginnt häufig damit, dass diese DNS-Daten verwendet werden, um ein Netzwerk abzubilden oder zu kartieren. DNS-Domänen- und Computernamen verweisen meist auf die Funktion oder den Standort einer Domäne oder eines Computers, damit sich Benutzende Domänen und Computer leichter merken und diese wiederfinden können. Ein Cyberangriff nutzt dasselbe DNS-Prinzip, um die Funktion oder Position von Domänen und Computern im Netzwerk zu erlernen.
Sehen Sie sich die folgenden Richtlinien für die Konfiguration von Zonenübertragungen aus sicherheitstechnischer Sicht an:
- Sicherheit auf niedriger Ebene: Alle DNS-Zonen lassen Zonenübertragungen auf beliebige Server zu.
- Sicherheit auf mittlerer Ebene: Alle DNS-Zonen beschränken Zonenübertragungen auf Server, die in den NS-Ressourceneinträgen (Name Server) in ihren Zonen aufgeführt sind.
- Sicherheit auf hoher Ebene: Alle DNS-Zonen beschränken Zonenübertragungen auf bestimmte IP-Adressen.
Empfohlene Maßnahmen
Um eine DNS-Zone für die sichere Zonenübertragung zu konfigurieren, gehen Sie wie folgt vor, um die Einstellung für die Zonenübertragung so zu konfigurieren, dass Zonenübertragungen an bestimmte IP-Adressen erlaubt werden:
Wählen Sie im DNS-Manager den Namen der DNS-Zone aus (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie "Eigenschaften" aus.
Klicken Sie in der Registerkarte „Zonenübertragungen“ auf Zonenübertragung erlauben.
Wählen Sie Nur an die folgenden Server aus.
Wählen Sie "Bearbeiten" aus, und geben Sie dann in der Liste der sekundären Server die IP-Adressen der Server ein, die Sie angeben möchten.
Wenn Sie alle erforderlichen IP-Adressen eingegeben haben, klicken Sie auf OK.
Sie können auch die Befehlszeile dnscmd verwenden, um dasselbe Ergebnis zu erzielen.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.
Geben Sie in der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die Eingabetaste:
dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> /SecureList [<SecondaryIPAddress...>]
Beispiel: dnscmd dnssvr1.contoso.com /zoneresetsecondaries test.contoso.com /securelist 11.0.0.2
Weitere Informationen
Weitere Informationen zum Verständnis der Funktionsweise von Zonenübertragungen finden Sie unter Grundlegendes zu Zonen und Zonenübertragungen.
Weitere Informationen zum Konfigurieren von Zonenübertragungen finden Sie unter Ändern der Zonenübertragungseinstellungen.