Chỉ đặt cấu hình tất cả các vùng DNS để cho phép truyền vùng đến các địa chỉ IP được chỉ định - Trung tâm Microsoft Engage (Trung tâm Dịch vụ)

Tại sao nên xem xét điều này

Nếu cài đặt chuyển vùng được định cấu hình để cho phép chuyển vùng đến bất kỳ máy chủ nào, bạn có thể gửi dữ liệu vùng Hệ thống tên miền (DNS) của mình đến máy chủ DNS giả mạo. Dữ liệu vùng DNS bị lộ này có thể khiến mạng của bạn dễ bị tấn công hơn, vì những kẻ tấn công sẽ sử dụng dữ liệu vùng DNS này để giúp chúng lập bản đồ mạng của bạn về tên miền, tên máy tính và địa chỉ IP của tài nguyên mạng nhạy cảm của bạn.

Xem Kỹ sư khách hàng giải thích vấn đề

Bối cảnh và thực tiễn tốt nhất

Quá trình sao chép tệp vùng sang nhiều máy chủ DNS được gọi là truyền vùng. Chuyển vùng đạt được bằng cách sao chép tệp vùng từ một máy chủ DNS sang máy chủ DNS thứ hai. Máy chủ DNS chính là nguồn thông tin vùng trong quá trình chuyển. Máy chủ DNS chính có thể là máy chủ DNS chính hoặc phụ. Nếu máy chủ DNS chính là máy chủ DNS chính, thì việc truyền vùng đến trực tiếp từ máy chủ DNS lưu trữ vùng chính. Nếu máy chủ chính là máy chủ DNS phụ, thì tệp vùng nhận được từ máy chủ DNS chính bằng phương tiện truyền vùng là bản sao của tệp vùng phụ chỉ đọc.

Hệ thống tên miền (DNS) ban đầu được thiết kế như một giao thức mở và do đó dễ bị tấn công tấn công. Theo mặc định, dịch vụ Máy chủ DNS chỉ cho phép thông tin vùng được chuyển đến các máy chủ được liệt kê trong các bản ghi tài nguyên máy chủ tên (NS) của một vùng. Đây là một cấu hình an toàn, nhưng để tăng cường bảo mật, cài đặt này nên được thay đổi thành tùy chọn cho phép truyền vùng đến các địa chỉ IP được chỉ định. Nếu cài đặt này được thay đổi để cho phép truyền vùng đến bất kỳ máy chủ nào, nó có thể làm lộ dữ liệu DNS của bạn cho kẻ tấn công đang cố gắng xâm nhập mạng của bạn.

Dấu chân là quá trình mà kẻ tấn công lấy dữ liệu vùng DNS để cung cấp cho kẻ tấn công tên miền DNS, tên máy tính và địa chỉ IP cho các tài nguyên mạng nhạy cảm. Kẻ tấn công thường bắt đầu một cuộc tấn công bằng cách sử dụng dữ liệu DNS này để lập sơ đồ hoặc dấu chân của một mạng. Tên miền DNS và tên máy tính thường chỉ ra chức năng hoặc vị trí của tên miền hoặc máy tính để giúp người dùng ghi nhớ và xác định tên miền và máy tính dễ dàng hơn. Kẻ tấn công tận dụng cùng một nguyên tắc DNS để tìm hiểu chức năng hoặc vị trí của các tên miền và máy tính trong mạng.

Xem lại các hướng dẫn sau đây cho cấu hình chuyển vùng từ quan điểm bảo mật:

  • Bảo mật cấp thấp: Tất cả các Vùng DNS đều cho phép chuyển vùng đến bất kỳ máy chủ nào.
  • Bảo mật cấp trung bình: Tất cả các Vùng DNS đều giới hạn việc chuyển vùng đến các máy chủ được liệt kê trong các bản ghi tài nguyên máy chủ tên (NS) trong các vùng của họ.
  • Bảo mật cấp cao: Tất cả các Vùng DNS đều giới hạn chuyển vùng đến các địa chỉ IP được chỉ định.

Hành động được đề xuất

Để định cấu hình vùng DNS để truyền vùng an toàn, hãy thay đổi cài đặt chuyển vùng thành tùy chọn cho phép truyền vùng đến các địa chỉ IP cụ thể bằng cách thực hiện các hành động sau:

  1. Trong Trình quản lý DNS, nhấp chuột phải vào tên của vùng DNS và nhấp vào Thuộc tính.

  2. Trên tab Chuyển vùng, nhấp vào Cho phép chuyển vùng.

  3. Chọn Chỉ cho các máy chủ sau.

  4. Nhấp vào Chỉnh sửa, sau đó trong danh sách địa chỉ IP của máy chủ phụ, nhập địa chỉ IP của các máy chủ bạn muốn chỉ định.

  5. Khi bạn đã nhập tất cả các địa chỉ IP cần thiết, hãy nhấp vào OK.

Bạn cũng có thể sử dụng công cụ dòng lệnh dnscmd để đạt được kết quả tương tự.

  1. Mở dấu nhắc lệnh nâng cao.

  2. Tại dấu nhắc lệnh, nhập lệnh sau và nhấn Enter:

    dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> /SecureList [<SecondaryIPAddress...>]

    Ví dụ: dnscmd dnssvr1.contoso.com /zoneresetsecondaries test.contoso.com /securelist 11.0.0.2

Tìm hiểu thêm

Để biết thêm thông tin về cách thức hoạt động của việc chuyển vùng, hãy xem Tìm hiểu về vùng và chuyển vùng.

Để biết thêm thông tin về cách định cấu hình chuyển vùng, hãy xem Sửa đổi cài đặt chuyển vùng.