Note
Ang pag-access sa pahinang ito ay nangangailangan ng pahintulot. Maaari mong subukang mag-sign in o magpalit ng mga direktoryo.
Ang pag-access sa pahinang ito ay nangangailangan ng pahintulot. Maaari mong subukang baguhin ang mga direktoryo.
Bakit Isaalang-alang ito
Kung ang setting ng paglilipat ng zone ay naka-configure upang payagan ang mga paglilipat ng zone sa anumang server, maaari mong ipadala ang iyong data ng zone ng Domain Name System (DNS) sa isang rogue DNS server. Ang nakalantad na data ng DNS zone na ito ay maaaring gawing mas mahina ang iyong network sa cyberattack, dahil gagamitin ng mga cyberattacker ang data ng DNS zone na ito upang matulungan silang mapa ang iyong network sa mga tuntunin ng mga pangalan ng domain, mga pangalan ng computer, at mga IP address ng iyong sensitibong mga mapagkukunan ng network.
Panoorin ang isang Customer Engineer na nagpapaliwanag ng isyu
Konteksto at Pinakamahusay na Kasanayan
Ang proseso ng pagkopya ng isang zone file sa maramihang mga server ng DNS ay tinatawag na zone transfer. Ang paglipat ng zone ay nakamit sa pamamagitan ng pagkopya ng zone file mula sa isang DNS server patungo sa isang pangalawang DNS server. Ang isang pangunahing DNS server ay ang pinagmulan ng impormasyon ng zone sa panahon ng isang paglilipat. Ang pangunahing DNS server ay maaaring maging isang pangunahin o pangalawang DNS server. Kung ang pangunahing DNS server ay isang pangunahing DNS server, pagkatapos ay ang zone transfer ay nagmumula nang direkta mula sa DNS server na nagho-host ng pangunahing zone. Kung ang pangunahing server ay isang pangalawang DNS server, kung gayon ang zone file na natanggap mula sa pangunahing DNS server sa pamamagitan ng isang zone transfer ay isang kopya ng read-only secondary zone file.
Ang Domain Name System (DNS) ay orihinal na dinisenyo bilang isang bukas na protocol at samakatuwid ay mahina laban sa mga cyberattacker. Bilang default, pinapayagan lamang ng serbisyo ng DNS Server ang impormasyon ng zone na mailipat sa mga server na nakalista sa mga rekord ng mapagkukunan ng name server (NS) ng isang zone. Ito ay isang ligtas na pagsasaayos, ngunit para sa nadagdagan na seguridad, ang setting na ito ay dapat baguhin sa pagpipilian upang payagan ang mga paglilipat ng zone sa mga tinukoy na IP address. Kung binago ang setting na ito upang payagan ang mga paglilipat ng zone sa anumang server, maaari nitong ilantad ang iyong data ng DNS sa isang cyberattacker na nagtatangkang i-footprint ang iyong network.
Ang footprinting ay ang proseso kung saan ang data ng DNS zone ay nakuha ng isang cyberattacker upang maibigay sa cyberattacker ang mga pangalan ng domain ng DNS, mga pangalan ng computer, at mga IP address para sa mga sensitibong mapagkukunan ng network. Ang isang cyberattacker ay karaniwang nagsisimula ng isang pag-atake sa pamamagitan ng paggamit ng data ng DNS na ito upang i-diagram, o bakas ng paa, ang isang network. Ang mga pangalan ng domain ng DNS at computer ay karaniwang nagpapahiwatig ng pag-andar o lokasyon ng isang domain o computer upang matulungan ang mga gumagamit na matandaan at makilala ang mga domain at computer nang mas madali. Sinasamantala ng isang cyberattacker ang parehong prinsipyo ng DNS upang malaman ang pag-andar o lokasyon ng mga domain at computer sa network.
Suriin ang sumusunod na mga alituntunin para sa pagsasaayos ng paglilipat ng zone mula sa isang pananaw sa seguridad:
- Mababang antas ng Seguridad: Pinapayagan ng lahat ng DNS Zone ang paglilipat ng zone sa anumang server.
- Katamtamang Antas ng Seguridad: Nililimitahan ng lahat ng mga DNS Zone ang paglilipat ng zone sa mga server na nakalista sa mga rekord ng mapagkukunan ng name server (NS) sa kanilang mga zone.
- Mataas na Antas ng Seguridad: Ang lahat ng mga DNS Zone ay naglilimita sa paglilipat ng zone sa mga tinukoy na IP address.
Mga Iminungkahing Pagkilos
Upang i-configure ang isang DNS zone para sa secure na paglilipat ng zone, baguhin ang setting ng paglilipat ng zone sa pagpipilian upang payagan ang mga paglilipat ng zone sa mga tukoy na IP address sa pamamagitan ng pagsasagawa ng mga sumusunod na pagkilos:
- Sa DNS Manager, i-right-click ang pangalan ng DNS zone at i-click ang Mga Katangian.
- Sa tab na Mga Paglilipat ng Zone, i-click ang Payagan ang paglilipat ng zone.
- Piliin lamang ang mga sumusunod na server.
- I-click ang I-edit, pagkatapos ay sa listahan ng mga IP address ng mga pangalawang server , ipasok ang mga IP address ng mga server na nais mong tukuyin.
- Kapag naipasok mo na ang lahat ng kinakailangang mga IP address, i-click ang OK.
Maaari mo ring gamitin ang command line ng DNSCMD upang makamit ang parehong resulta.
- Buksan ang isang nakataas na command prompt.
- Sa command prompt, i-type ang sumusunod na command at pindutin ang Enter:
dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> /SecureList [<SecondaryIPAddress...>]
Halimbawa:
DNSCMD dnssvr1.contoso.com / zoneresetsecondaries test.contoso.com / securelist 11.0.0.2
Alamin pa
Para sa karagdagang impormasyon tungkol sa pag-unawa kung paano gumagana ang mga paglilipat ng zone, tingnan ang Pag-unawa sa mga zone at paglilipat ng zone, sa https://technet.microsoft.com/library/cc781340(WS.10).aspx.
Para sa karagdagang impormasyon sa kung paano i-configure ang mga paglilipat ng zone, tingnan ang Baguhin ang Mga Setting ng Paglilipat ng Zone, sa https://technet.microsoft.com/library/cc771652.aspx.