Verwenden der DNS-Richtlinie zum Anwenden von Filtern auf DNS-Abfragen

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Thema erfahren Sie, wie Sie die DNS-Richtlinie in Windows Server® 2016 konfigurieren, um Abfragefilter zu erstellen, die auf kriterienbasierten Kriterien basieren.

Mit Abfragefiltern in der DNS-Richtlinie können Sie den DNS-Server so konfigurieren, dass er basierend auf der DNS-Abfrage und dem DNS-Client, der die DNS-Abfrage sendet, auf benutzerdefinierte Weise antwortet.

Sie können z. B. eine DNS-Richtlinie mit dem Abfragefilter Blockliste konfigurieren, der DNS-Abfragen von bekannten schädlichen Domänen blockiert, was verhindert, dass DNS auf Abfragen aus diesen Domänen reagiert. Da keine Antwort vom DNS-Server gesendet wird, kommt es bei der DNS-Abfrage des böswilligen Domänenmitglieds zu einem Zeitlauf.

Ein weiteres Beispiel ist das Erstellen eines Abfragefilters Allow List, mit dem nur eine bestimmte Gruppe von Clients bestimmte Namen auflösen kann.

Abfragefilterkriterien

Sie können Abfragefilter mit einer beliebigen logischen Kombination (AND/OR/NOT) der folgenden Kriterien erstellen.

Name BESCHREIBUNG
Clientsubnetz Name eines vordefinierten Clientsubnetzes. Wird verwendet, um das Subnetz zu überprüfen, von dem die Abfrage gesendet wurde.
Transportprotokoll Transportprotokoll, das in der Abfrage verwendet wird. Mögliche Werte sind UDP und TCP.
Internetprotokoll Netzwerkprotokoll, das in der Abfrage verwendet wird. Mögliche Werte sind IPv4 und IPv6.
IP-Adresse der Serverschnittstelle IP-Adresse der Netzwerkschnittstelle des DNS-Servers, der die DNS-Anforderung empfangen hat.
FQDN Der vollqualifizierte Domänenname des Datensatzes in der Abfrage mit der Möglichkeit, einen Platzhalter zu verwenden.
Abfragetyp Typ des abgefragten Datensatzes (A, SRV, TXT usw.).
Tageszeit Tageszeit, zu der die Abfrage empfangen wird.

In den folgenden Beispielen wird gezeigt, wie Sie Filter für DNS-Richtlinien erstellen, die Abfragen zur DNS-Namensauflösung blockieren oder zulassen.

Hinweis

Die Beispielbefehle in diesem Thema verwenden den Windows PowerShell Befehl Add-DnsServerQueryResolutionPolicy. Weitere Informationen finden Sie unter Add-DnsServerQueryResolutionPolicy.

Blockieren von Abfragen aus einer Domäne

In einigen Fällen sollten Sie die DNS-Namensauflösung für Domänen blockieren, die Sie als schädlich identifiziert haben, oder für Domänen, die nicht den Nutzungsrichtlinien Ihrer Organisation entsprechen. Sie können blockierende Abfragen für Domänen mithilfe der DNS-Richtlinie durchführen.

Die richtlinie, die Sie in diesem Beispiel konfigurieren, wird nicht für eine bestimmte Zone erstellt. Stattdessen erstellen Sie eine Richtlinie auf Serverebene, die auf alle auf dem DNS-Server konfigurierten Zonen angewendet wird. Richtlinien auf Serverebene sind die ersten, die ausgewertet und daher zuerst abgegleichen werden, wenn eine Abfrage vom DNS-Server empfangen wird.

Der folgende Beispielbefehl konfiguriert eine Richtlinie auf Serverebene, um alle Abfragen mit dem Domänensuffix contosomalicious.com zu blockieren.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.contosomalicious.com" -PassThru

Hinweis

Wenn Sie den Action-Parameter mit dem Wert IGNORE konfigurieren, wird der DNS-Server so konfiguriert, dass Abfragen ohne Antwort abgelegt werden. Dadurch kommt es für den DNS-Client in der schädlichen Domäne zu einem Time out.

Blockieren von Abfragen aus einem Subnetz

In diesem Beispiel können Sie Abfragen aus einem Subnetz blockieren, wenn festgestellt wird, dass es von Schadsoftware infiziert ist und versucht, schädliche Websites über Ihren DNS-Server zu kontaktieren.

' Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" -PassThru '

Im folgenden Beispiel wird veranschaulicht, wie Sie die Subnetzkriterien in Kombination mit den FQDN-Kriterien verwenden können, um Abfragen für bestimmte schädliche Domänen aus infizierten Subnetzen zu blockieren.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" –FQDN “EQ,*.contosomalicious.com” -PassThru

Blockieren eines Abfragetyps

Möglicherweise müssen Sie die Namensauflösung für bestimmte Arten von Abfragen auf Ihren Servern blockieren. Sie können z. B. die ANY-Abfrage blockieren, die in böswilliger Absicht zum Erstellen von Verstärkungsangriffen verwendet werden kann.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyQType" -Action IGNORE -QType "EQ,ANY" -PassThru

Nur Abfragen aus einer Domäne zulassen

Sie können nicht nur die DNS-Richtlinie verwenden, um Abfragen zu blockieren, sondern auch, um Abfragen von bestimmten Domänen oder Subnetzen automatisch zu genehmigen. Wenn Sie Listen zulassen konfigurieren, verarbeitet der DNS-Server nur Abfragen von zulässigen Domänen und blockiert gleichzeitig alle anderen Abfragen aus anderen Domänen.

Mit dem folgenden Beispielbefehl können nur Computer und Geräte in der contoso.com und untergeordneten Domänen den DNS-Server abfragen.

Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com" -PassThru

Nur Abfragen aus einem Subnetz zulassen

Sie können auch Listen zulassen für IP-Subnetze erstellen, sodass alle Abfragen, die nicht aus diesen Subnetzen stammen, ignoriert werden.

Add-DnsServerClientSubnet -Name "AllowedSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet” -Action IGNORE -ClientSubnet "NE, AllowedSubnet06" -PassThru

Nur bestimmte QTypes zulassen

Sie können Listen zulassen auf QTYPEs anwenden.

Wenn Sie beispielsweise externe Kunden haben, die die DNS-Serverschnittstelle 164.8.1.1 abfragen, dürfen nur bestimmte QTYPEs abgefragt werden, während es andere QTYPEs wie SRV- oder TXT-Einträge gibt, die von internen Servern zur Namensauflösung oder zu Überwachungszwecken verwendet werden.

Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,164.8.1.1” -PassThru

Sie können Tausende von DNS-Richtlinien gemäß Ihren Anforderungen an die Datenverkehrsverwaltung erstellen, und alle neuen Richtlinien werden dynamisch auf eingehende Abfragen angewendet , ohne den DNS-Server neu zu starten.