Poznámka
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete sa skúsiť prihlásiť alebo zmeniť adresáre.
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete skúsiť zmeniť adresáre.
Prečo zvážiť
Ak je nastavenie prenosu zón nakonfigurované tak, aby umožňovala prenosy zón na akýkoľvek server, môžete odosielať údaje zóny Domain Name System (DNS) na server DNS rogue. Vďaka tomuto údaju zóny DNS by vaša sieť mohla byť zraniteľnejšia voči kybernetickému útoku, pretože kybernetickí útoky budú používať tieto údaje zóny DNS, aby im pomohli zmapovať vašu sieť z hľadiska názvov domén, názvov počítačov a adries IP vašej citlivej siete.
Pozrite si, ako zákaznícky inžinier objasní problém.
Kontext a najvhodnejšie postupy
Proces replikovania súboru zóny na viacero serverov DNS sa nazýva prenos zón. Prenos zón sa dosiahne skopírovaním súboru zóny z jedného servera DNS na druhý server DNS. Hlavný server DNS je zdrojom informácií o pásme počas prenosu. Hlavným serverom DNS môže byť primárny alebo sekundárny server DNS. Ak je hlavný dns server primárnym serverom DNS, prenos zón pochádza priamo zo servera DNS hosťovaní primárnej zóny. Ak je hlavný server sekundárny server DNS, súbor zóny prijatý z hlavného servera DNS prostredníctvom prenosu zóny je kópiou súboru sekundárneho pásma iba na čítanie.
Systém DNS bol pôvodne navrhnutý ako otvorený protokol, a preto je zraniteľný pre kyberútok. Služba DNS Servera predvolene umožňuje len prenos informácií o pásme na servery uvedené v záznamoch zdrojov servera názvov (NS) v zóne. Toto je zabezpečená konfigurácia, ale v prípade zvýšeného zabezpečenia by sa toto nastavenie malo zmeniť na možnosť povoliť prenosy zón na zadané adresy IP. Ak sa toto nastavenie zmení, aby sa umožnili prenosy zón na akýkoľvek server, môže to sprístupniť údaje DNS cyberattackerovi, ktorý sa pokúsi použiť vašu sieť.
Footprinting je proces, ktorým cyberattacker získava údaje zóny DNS, aby poskytol cyberattackerovi názvy domén DNS, názvy počítačov a IP adresy pre citlivé sieťové zdroje. Cyberattacker bežne začína útok pomocou týchto údajov DNS na diagram, alebo stopy, siete. Názvy domén a počítačov DNS zvyčajne označujú funkciu alebo umiestnenie domény alebo počítača, čo pomáha používateľom ľahšie zapamätať a identifikovať domény a počítače. Cyberattacker využíva rovnakú zásadu DNS na učenie sa funkcie alebo umiestnenia domén a počítačov v sieti.
Skontrolujte nasledujúce pokyny pre konfiguráciu prenosu z hľadiska zabezpečenia:
- Zabezpečenie na nízkej úrovni: Všetky zóny DNS povoľujú prenosy zón na akýkoľvek server.
- Zabezpečenie na strednej úrovni: Všetky prenosy zón dns zóny sa prenášajú na servery uvedené v záznamoch prostriedkov servera názvov (NS) v ich zónach.
- Zabezpečenie na vysokej úrovni: Všetky prenosy zón DNS zón na zadané IP adresy.
Navrhované akcie
Ak chcete nakonfigurovať zónu DNS na prenos zabezpečených zón, zmeňte nastavenie prenosu zóny na možnosť povoliť prenosy zón na konkrétne adresy IP vykonaním nasledujúcich akcií:
- V Správcovi DNS kliknite pravým tlačidlom myši na názov zóny DNS a kliknite na položku Vlastnosti.
- Na karte Zone Transfers (Prenosy zón) kliknite na položku Allow zone transfer (Povoliť prenos zón).
- Vyberte možnosť Iba na nasledujúcich serveroch.
- Kliknite na položku Upraviť, potom v IP adresách zoznamu sekundárnych serverov zadajte IP adresy serverov, ktoré chcete zadať.
- Po zadaní všetkých požadovaných adries IP kliknite na tlačidlo OK.
Rovnaký výsledok môžete dosiahnuť aj pomocou príkazového riadka dnscmd.
- Otvorte príkazový riadok s právami správcu.
- V príkazovom riadku zadajte nasledujúci príkaz a stlačte kláves Enter:
dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> /SecureList [<SecondaryIPAddress...>]
Napríklad:
dnscmd dnssvr1.contoso.com /zoneresetsecondaries test.contoso.com /securelist 11.0.0.2
Ďalšie informácie
Ďalšie informácie o tom, ako fungujú prenosy zón, nájdete v časti Pochopenie zón a prenosu zón na stránke https://technet.microsoft.com/library/cc781340(WS.10).aspx.
Ďalšie informácie o tom, ako nakonfigurovať prenosy zón, nájdete v téme Úprava nastavení prenosu zóny na stránke https://technet.microsoft.com/library/cc771652.aspx.