Verwenden der DNS-Richtlinie zum Anwenden von Filtern auf DNS-Abfragen
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Erfahren Sie in diesem Thema, wie Sie die DNS-Richtlinie in Windows Server 2016 konfigurieren, um Abfragefilter zu erstellen, die auf den von Ihnen angegebenen Kriterien basieren.
Mit Abfragefiltern in der DNS-Richtlinie können Sie den DNS-Server so konfigurieren, dass er basierend auf der DNS-Abfrage und dem DNS-Client reagiert, der die DNS-Abfrage sendet.
Sie können beispielsweise eine DNS-Richtlinie mit einer Abfragefilterblockierliste konfigurieren, die DNS-Abfragen von bekannten böswilligen Domänen blockiert. Dadurch wird verhindert, dass DNS auf Abfragen aus diesen Domänen reagiert. Da keine Antwort vom DNS-Server gesendet wird, tritt bei der DNS-Abfrage des böswilligen Domänenmitglieds ein Timeout auf.
Ein anderes Beispiel ist das Erstellen einer Abfragefilterpositivliste, mit der nur eine bestimmte Gruppe von Clients bestimmte Namen auflösen kann.
Abfragefilterkriterien
Sie können Abfragefilter mit einer beliebigen logischen Kombination (AND/OR/NOT) der folgenden Kriterien erstellen.
| Name | BESCHREIBUNG |
|---|---|
| Clientsubnetz | Name eines vordefinierten Clientsubnetzes. Wird verwendet, um das Subnetz zu überprüfen, von dem die Abfrage gesendet wurde. |
| Transportprotokoll | In der Abfrage verwendete Transportprotokoll. Mögliche Werte sind UDP und TCP. |
| Internetprotokoll | Das in der Abfrage verwendete Transportprotokoll. Mögliche Werte sind IPv4 und IPv6. |
| IP-Adresse der Serverschnittstelle | Die IP-Adresse der Netzwerkschnittstelle des DNS-Servers, der die DNS-Anforderung empfangen hat. |
| FQDN | Der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Eintrags in der Abfrage mit der Möglichkeit, einen Platzhalterwert zu verwenden. |
| Abfragetyp | Der Typ des abgefragten Eintrags (A, SRV, TXT usw.). |
| Tageszeit | Die Tageszeit, zu der die Abfrage empfangen wird. |
Die folgenden Beispiele zeigen, wie Sie Filter für DNS-Richtlinien erstellen, die Abfragen zur DNS-Namensauflösung blockieren oder zulassen.
Hinweis
Die Beispielbefehle in diesem Thema verwenden den Windows PowerShell-Befehl Add-DnsServerQueryResolutionPolicy. Weitere Informationen finden Sie unter Add-DnsServerQueryResolutionPolicy.
Blockieren von Abfragen von einer Domäne
Unter bestimmten Umständen können Sie DNS-Namensauflösung für Domänen blockieren, die Sie als böswillig identifiziert haben, oder für Domänen, die nicht den Nutzungsrichtlinien Ihrer Organisation entsprechen. Sie können mithilfe von DNS-Richtlinien bewirken, dass Abfragen für Domänen blockiert werden.
Die Richtlinie, die Sie in diesem Beispiel konfigurieren, wird nicht für eine bestimmte Zone erstellt. Stattdessen erstellen Sie eine Richtlinie auf Serverebene, die auf alle Zonen angewendet wird, die auf dem DNS-Server konfiguriert sind. Richtlinien auf Serverebene werden zuerst ausgewertet und damit auch zuerst abgeglichen, wenn eine Abfrage vom DNS-Server empfangen wird.
Mit dem folgenden Beispielbefehl wird eine Richtlinie auf Serverebene konfiguriert, um alle Abfragen mit dem Domänensuffix contosomalicious.com zu blockieren.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.contosomalicious.com" -PassThru
Hinweis
Wenn Sie den Action-Parameter mit dem Wert IGNORE konfigurieren, wird der DNS-Server so konfiguriert, dass Abfragen ohne jegliche Antwort gelöscht werden. Dadurch tritt für den DNS-Client in der böswilligen Domäne ein Timeout auf.
Blockieren von Abfragen aus einem Subnetz
In diesem Beispiel können Sie Abfragen aus einem Subnetz blockieren, wenn festgestellt wird, dass es mit Schadsoftware infiziert ist und versucht, eine Verbindung mit böswilligen Websites über Ihren DNS-Server herzustellen.
` Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" -PassThru `
Im folgenden Beispiel wird gezeigt, wie Sie die Subnetzkriterien in Kombination mit den FQDN-Kriterien verwenden können, um Abfragen für bestimmte böswillige Domänen aus infizierten Subnetzen zu blockieren.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" –FQDN “EQ,*.contosomalicious.com” -PassThru
Blockieren eines Abfragetyps
Möglicherweise müssen Sie Namensauflösung für bestimmte Arten von Abfragen auf Ihren Servern blockieren. Sie können beispielsweise die Abfrage „ANY“ blockieren, die böswillig zum Erstellen von Amplification Attacks verwendet werden kann.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyQType" -Action IGNORE -QType "EQ,ANY" -PassThru
Zulassen von Abfragen nur aus einer Domäne
Sie können DNS-Richtlinien nicht nur zum Blockieren von Abfragen verwenden, sondern auch zur automatischen Genehmigung von Abfragen von bestimmten Domänen oder aus bestimmten Subnetzen. Wenn Sie Positivlisten konfigurieren, verarbeitet der DNS-Server nur Abfragen von zulässigen Domänen, während alle anderen Abfragen von anderen Domänen blockiert werden.
Der folgende Beispielbefehl erlaubt nur Computern und Geräten in der Domäne contoso.com und untergeordneten Domänen die Abfrage des DNS-Servers.
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com" -PassThru
Zulassen von Abfragen nur aus einem Subnetz
Sie können auch Positivlisten für IP-Subnetze erstellen, sodass alle Abfragen, die nicht aus diesen Subnetzen stammen, ignoriert werden.
Add-DnsServerClientSubnet -Name "AllowedSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet” -Action IGNORE -ClientSubnet "NE, AllowedSubnet06" -PassThru
Zulassen nur bestimmter QTypes
Sie können Positivlisten auf QTYPEs anwenden.
Wenn Sie beispielsweise externe Kunden haben, die die DNS-Serverschnittstelle 164.8.1.1 abfragen, dürfen nur bestimmte QTYPEs abgefragt werden, während andere QTYPEs wie SRV- oder TXT-Einträge von internen Servern für die Namensauflösung oder zu Überwachungszwecken verwendet werden.
Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,164.8.1.1” -PassThru
Sie können Tausende von DNS-Richtlinien für Ihre Anforderungen an die Datenverkehrsverwaltung erstellen. Alle neuen Richtlinien werden bei eingehenden Abfragen dynamisch angewendet – ohne dass der DNS-Server neu gestartet werden muss.