Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Por que Considerar isso
Se a configuração de transferência de zona for configurada para permitir transferências de zona para qualquer servidor, você poderá enviar seus dados de zona Sistema de Nomes de Domínio (DNS) para um servidor DNS invasor. Esses dados de zona DNS expostos podem tornar sua rede mais vulnerável a ataques cibernéticos, pois invasores usarão esses dados de zona DNS para ajudá-los a mapear sua rede em busca de nomes de domínio, nomes de computador e endereços IP de seus recursos de rede confidenciais.
Assista à explicação de um Engenheiro de Clientes sobre o problema
Contexto e Práticas Recomendadas
O processo de replicação de um arquivo de zona para múltiplos servidores DNS é chamado de transferência de zona. A transferência de zona é obtida ao copiar o arquivo de zona de um dado servidor DNS para um segundo servidor DNS. Um servidor DNS principal é a origem das informações de zona durante uma transferência. O servidor DNS principal pode ser um servidor DNS primário ou secundário. Se o servidor DNS principal for um servidor DNS primário, a transferência de zona é feita diretamente do servidor DNS que hospeda a zona primária. Se o servidor principal for um servidor DNS secundário, o arquivo de zona, recebido do servidor DNS principal por meio de uma transferência de zona, será uma cópia somente leitura do arquivo de zona secundário.
O DNS (Sistema de Nomes de Domínio) foi originalmente projetado como um protocolo aberto e, portanto, é vulnerável a invasores cibernéticos. Por padrão, o serviço do Servidor DNS só permite que as informações de zona sejam transferidas para servidores listados nos registros de recursos do servidor de nomes (NS) de uma zona. Esta é uma configuração segura, mas para aumentar a segurança, essa configuração deve ser alterada para a opção que permite transferências de zona para endereços IP especificados. Se essa configuração for alterada para permitir transferências de zona para qualquer servidor, ela poderá expor seus dados DNS a um invasor cibernético que esteja tentando realizar o reconhecimento (footprinting) da sua rede.
O reconhecimento (footprinting) é o processo pelo qual os dados da zona DNS são obtidos por um invasor cibernético, fornecendo nomes de domínio DNS, nomes de computador e endereços IP e recursos de rede confidenciais. Um invasor cibernético normalmente inicia um ataque cibernético usando esses dados DNS para esquematizar, ou realizar o reconhecimento (footprint), da rede. Domínio DNS e nomes de computador normalmente indicam a função ou o local de um domínio ou computador, com o objetivo de ajudar os usuários a lembrar e identificar domínios e computadores com mais facilidade. Um invasor cibernético tira proveito do mesmo princípio do DNS para saber qual a função ou o local de domínios e computadores na rede.
Revise as seguintes diretrizes sobre a configuração de transferência de zonas sob o ponto de vista da segurança:
- Segurança de baixo nível: todas as zonas DNS permitem transferências de zona para qualquer servidor.
- Segurança de nível médio: todas as zonas DNS limitam as transferências de zona para os servidores listados nos registros de recursos do servidor de nomes (NS) em suas zonas.
- Segurança de alto nível: todas as zonas DNS limitam as transferências de zona para endereços IP especificados.
Ações sugeridas
Para configurar uma zona DNS para uma transferência de zona segura, altere a configuração de transferência de zona para a opção que permite transferências de zona para endereços IP específicos ao executar os seguintes passos:
No Gerenciador DNS, clique com o botão direito do mouse no nome da zona DNS e selecione Propriedades.
Na guia Transferências de zona, selecione Permitir transferência de zona.
Selecione Apenas para os seguintes servidores.
Selecione Editar e, na lista Endereços IP de servidores secundários, insira os endereços IP dos servidores que deseja especificar.
Quando inserir todos os endereços IP necessários, selecione OK.
Você também pode usar a ferramenta de linha de comando �dnscmd� para obter o mesmo resultado.
Abra um prompt de comando com privilégios elevados.
No prompt do comando, digite o seguinte comando e pressione Enter:
dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> /SecureList [<SecondaryIPAddress...>]
Por exemplo: dnscmd dnssvr1.contoso.com /zoneresetsecondaries test.contoso.com /securelist 11.0.0.2
Saiba Mais
Para obter mais informações sobre como as transferências de zona funcionam, consulte Entendendo sobre zonas e transferência de zonas.
Para obter mais informações sobre como configurar as transferências de zona, consulte Modificar Configurações de Transferência de Zona.