Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pourquoi effectuer ces actions
Si le paramètre de transfert de zone est configuré pour permettre des transferts de zone vers n’importe quel serveur, vous pouvez envoyer les données de votre zone DNS à un serveur DNS non autorisé. Ces données de zone DNS exposées peuvent rendre votre réseau plus vulnérable aux cyberattaques, car les cybercriminels utiliseront ces données de zone DNS pour dresser la carte de votre réseau en termes de noms de domaine, de noms d’ordinateur et d’adresses IP de vos ressources réseau sensibles.
Regardez un ingénieur client expliquer le problème
Contexte et meilleures pratiques
Le « transfert de zone » implique de répliquer un fichier de zone sur plusieurs serveurs DNS. Il résulte de la copie du fichier de zone d’un serveur DNS sur un autre serveur DNS. Lors du transfert, les informations de zone proviennent du serveur DNS principal. Celui-ci peut correspondre à un serveur DNS principal ou secondaire. Dans le premier cas, le transfert de zone s’effectue directement à partir du serveur DNS hébergeant la zone principale. Si le serveur DNS principal est secondaire, il transfère la copie du fichier en lecture seule situé dans la zone secondaire.
Le système DNS, initialement conçu comme un protocole ouvert, est vulnérable aux cyberattaques. Par défaut, le service Serveur DNS autorise le transfert des informations de zone sous réserve que les serveurs cible figurent dans les enregistrements de ressource NS (serveur de noms) d’une zone. Ce paramétrage offre une certaine protection mais, pour renforcer la sécurité, vous devez le modifier en permettant les transferts de zone vers des adresses IP spécifiées. Si cette configuration est modifiée pour autoriser les transferts de zone vers tout serveur, vos données DNS risquent d’exposer le réseau à une tentative de cyberattaque par footprinting.
Par ce biais, un cybercriminel cherche à obtenir les noms de domaine DNS, les noms d’ordinateur et les adresses IP en vue d’accéder aux ressources réseau sensibles. Un cybercriminel commence généralement par utiliser les données DNS pour représenter un réseau. Étant souvent révélateurs d’une fonction ou d’un emplacement, les noms mentionnés ci-dessus aident les utilisateurs à retenir et à identifier des domaines et des ordinateurs. Sur le même principe DNS, une personne malveillante peut découvrir la fonction ou l’emplacement des domaines et des ordinateurs du réseau.
Pour configurer le transfert de zone en tenant compte de la sécurité, passez en revue les règles suivantes :
- Sécurité de niveau bas : toutes les zones DNS autorisent les transferts de zone vers tout serveur.
- Sécurité de niveau moyen : sans exception, les zones DNS limitent les transferts de zone aux serveurs répertoriés dans les enregistrements de ressources de serveurs de noms (NS) de leur zone.
- Sécurité de niveau élevé : sans exception, les zones DNS limitent les transferts de zone vers des adresses IP spécifiées.
Actions suggérées
Pour configurer une zone DNS pour un transfert de zone sécurisé, remplacez le paramètre de transfert de zone par l’option permettant les transferts de zone vers des adresses IP spécifiques en effectuant les actions suivantes :
- Dans le Gestionnaire DNS, cliquez avec le bouton droit sur le nom de la zone DNS, puis cliquez sur Propriétés.
- Dans l’onglet Transferts de zone, cliquez sur Autoriser le transfert de zone.
- Sélectionnez Uniquement vers les serveurs suivants.
- Cliquez sur Modifier, puis dans la liste Adresses IP des serveurs secondaires, entrez les adresses IP des serveurs que vous souhaitez spécifier.
- Lorsque vous avez entré toutes les adresses IP requises, cliquez sur OK.
Vous pouvez également utiliser la ligne de commande �dnscmd� pour obtenir le même résultat.
- Ouvrez une invite de commandes avec élévation de privilèges.
- À l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :
dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> /SecureList [<SecondaryIPAddress...>]
Par exemple :
dnscmd dnssvr1.contoso.com /zoneresetsecondaries test.contoso.com /securelist 11.0.0.2
En savoir plus
Pour plus d’informations et pour comprendre le fonctionnement des transferts de zone, consultez Présentation des zones et du transfert de zone à l'adresse suivante : https://technet.microsoft.com/library/cc781340(WS.10).aspx.
Pour en savoir plus sur la configuration des transferts de zone, consultez l’article Modifier les paramètres de transfert de zone, à l'adresse suivante : https://technet.microsoft.com/library/cc771652.aspx.