Notă
Accesul la această pagină necesită autorizare. Puteți încerca să vă conectați sau să modificați directoarele.
Accesul la această pagină necesită autorizare. Puteți încerca să modificați directoarele.
De ce să luați în considerare acest lucru
Dacă setarea de transfer de zonă este configurată pentru a permite transferurile de zonă către orice server, puteți trimite datele de zonă DNS (Domain Name System) către un server DNS necinstit. Aceste date expuse din zona DNS ar putea face rețeaua mai vulnerabilă la atacuri cibernetice, deoarece atacatorii cibernetici vor folosi aceste date din zona DNS pentru a-i ajuta să cartografieze rețeaua în ceea ce privește numele de domenii, numele computerelor și adresele IP ale resurselor sensibile ale rețelei.
Urmăriți un inginer client explicând problema
Context și cele mai bune practici
Procesul de replicare a unui fișier de zonă pe mai multe servere DNS se numește transfer de zonă. Transferul de zonă se realizează prin copierea fișierului de zonă de pe un server DNS pe un al doilea server DNS. Un server DNS principal este sursa informațiilor despre zonă în timpul unui transfer. Serverul DNS principal poate fi un server DNS primar sau secundar. Dacă serverul DNS principal este un server DNS primar, atunci transferul de zonă vine direct de la serverul DNS care găzduiește zona primară. Dacă serverul principal este un server DNS secundar, atunci fișierul de zonă primit de la serverul DNS principal prin intermediul unui transfer de zonă este o copie a fișierului de zonă secundar doar în citire.
Domain Name System (DNS) a fost conceput inițial ca un protocol deschis și, prin urmare, este vulnerabil la atacatorii cibernetici. În mod implicit, serviciul Server DNS permite transferul informațiilor despre zonă numai către serverele listate în înregistrările de resurse ale serverului de nume (NS) ale unei zone. Aceasta este o configurație sigură, dar pentru o securitate sporită, această setare ar trebui modificată în opțiunea de a permite transferurile de zonă către adresele IP specificate. Dacă această setare este modificată pentru a permite transferurile de zonă către orice server, vă poate expune datele DNS unui atacator cibernetic care încearcă să vă amprenteze rețeaua.
Amprentarea este procesul prin care datele zonei DNS sunt obținute de un atacator cibernetic pentru a furniza atacatorului cibernetic numele de domenii DNS, numele computerelor și adresele IP pentru resursele sensibile ale rețelei. Un atacator cibernetic începe de obicei un atac folosind aceste date DNS pentru a diagrama sau amprenta unei rețele. Numele de domenii DNS și computere indică de obicei funcția sau locația unui domeniu sau computer pentru a ajuta utilizatorii să-și amintească și să identifice mai ușor domeniile și computerele. Un atacator cibernetic profită de același principiu DNS pentru a afla funcția sau locația domeniilor și computerelor din rețea.
Consultați următoarele instrucțiuni pentru configurarea transferului de zonă din punct de vedere al securității:
- Securitate la nivel scăzut: Toate zonele DNS permit transferuri de zonă către orice server.
- Securitate de nivel mediu: Toate zonele DNS limitează transferurile de zonă către serverele listate în înregistrările de resurse ale serverului de nume (NS) din zonele lor.
- Securitate la nivel înalt: Toate zonele DNS limitează transferurile de zone la adresele IP specificate.
Acțiuni sugerate
Pentru a configura o zonă DNS pentru transferul de zonă securizat, modificați setarea de transfer de zonă la opțiunea de a permite transferurile de zonă către anumite adrese IP, efectuând următoarele acțiuni:
- În Managerul DNS, faceți clic dreapta pe numele zonei DNS și faceți clic pe Proprietăți.
- Pe fila Transferuri de zonă, faceți clic pe Permiteți transferul de zonă.
- Selectați Numai la următoarele servere.
- Faceți clic pe Editare, apoi în lista de adrese IP ale serverelor secundare, introduceți adresele IP ale serverelor pe care doriți să le specificați.
- După ce ați introdus toate adresele IP necesare, faceți clic pe OK.
De asemenea, puteți utiliza linia de comandă dnscmd pentru a obține același rezultat.
- Deschideți o linie de comandă cu drepturi sporite.
- În linia de comandă, tastați următoarea comandă și apăsați Enter:
dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> /SecureList [<SecondaryIPAddress...>]
De exemplu:
dnscmd dnssvr1.contoso.com /zoneresetsecondaries test.contoso.com /securelist 11.0.0.2
Aflați mai multe
Pentru mai multe informații despre înțelegerea modului în care funcționează transferurile de zonă, consultați Înțelegerea zonelor și a transferului de zone, la https://technet.microsoft.com/library/cc781340(WS.10).aspx.
Pentru mai multe informații despre cum să configurați transferurile de zonă, consultați Modificarea setărilor de transfer de zonă, la https://technet.microsoft.com/library/cc771652.aspx.