Aktueller Channel Fokus:

Output Management

Schutz vor Manipulation, Hackern und versehentlichem Löschen

DNS in Windows Server 2016 sicher betreiben

| Autor / Redakteur: Thomas Joos / Andreas Donner

Für die Sicherheit des Unternehmensnetzwerks ist auch die Sicherheit der Domain Name Server entscheidend.
Für die Sicherheit des Unternehmensnetzwerks ist auch die Sicherheit der Domain Name Server entscheidend. (Bild: © CrazyCloud - stock.adobe.com)

Die Namensauflösung im Netzwerk spielt auch für die Sicherheit eine wichtige Rolle. Manipulieren Hacker DNS-Zonen, kann es passieren, dass Anwender auf kompromittierte Server zugreifen, Dienste ausfallen oder Daten verloren gehen. Es lohnt sich also, DNS vor Angriffen abzusichern.

Angreifer, die das DNS-System in einem Netzwerk manipulieren, ändern entweder den DNS-Cache ab, betreiben Spoofing oder manipulieren ganze Zonen. Der erste Schritt, um DNS in Active-Directory-Umgebungen abzusichern, ist daher die Integration der DNS-Daten in das Active Directory und das Festlegen, dass nur authentifizierte Computer Einträge erstellen oder eigene Einträge ändern können. Dadurch erhalten Unternehmen zwar keinen perfekten Schutz, aber die Sicherheit wird dennoch erhöht. Eine weitere Sofortmaßnahme ist das Überprüfen der Berechtigungen und das Aktivieren von DNSSEC.

Einstellungen für DNS-Zonen optimieren

Um DNS in Windows Server 2016 sicher zu konfigurieren, muss die DNS-Verwaltung in Windows Server 2016 gestartet werden – zum Beispiel mit „dnsmgmt.msc“. In der DNS-Verwaltung (siehe Abbildung 1) sind unterhalb der einzelnen DNS-Server die verschiedenen Zonen zu erkennen. Für den ersten Schritt der Absicherung sollten die Eigenschaften der DNS-Zone aufgerufen werden. Auf der Registerkarte „Allgemein“ sind erste, wichtige Sicherheits-Einstellungen vorzunehmen (siehe Abbildung 2).

Bei „Typ“ ist es sinnvoll über „Ändern“ die Option „Active Directory-integriert“ zu aktivieren (siehe Abbildung 3). Dadurch ist sichergestellt, dass die DNS-Daten zusammen mit Active Directory repliziert werden. Dies ist allerdings nur dann möglich, wenn der DNS-Server auf einem Active Directory-Domänencontroller installiert ist. In Active Directory-Umgebungen ist eine solche Konstellation aber auch sehr sinnvoll.

Danach sollte beim Punkt „Dynamische Updates“ überprüft werden, dass die Option „Nur sichere“ aktiviert ist. In diesem Fall dürfen nur Computer, die an AD authentifiziert sind, eigene Einträge erstellen. Auf der Registerkarte „Namensserver“ sollte zudem überprüft werden, ob die Namen und die IP-Adresse der Namensserver für die DNS-Zone korrekt und nur berechtigte Server enthalten sind (siehe Abbildung 4).

Werden im Netzwerk keine sekundären DNS-Server eingesetzt, ist es sinnvoll zu überprüfen, dass die primären Zonen-DNS-Server keine Zonenübertragungen zulassen, oder zumindest nur Übertragungen an fest definierte Server eingestellt sind. Dazu muss auf der Registerkarte „Zonenübertragungen“ in den Eigenschaften von Zonen die Option „Zonenübertragungen zulassen“ deaktiviert sein (siehe Abbildung 5).

Sicherheits-Einstellungen von DNS-Servern und DNS-Zonen überprüfen

In den Eigenschaften von DNS-Servern und DNS-Zonen gibt es die Registerkarte „Sicherheit“ (siehe Abbildung 6). Hier sollte überprüft werden, ob die Gruppe „Jeder“ nur „Lesen“ darf und keine unbekannten Gruppen das Recht haben, Einstellungen zu ändern. Außerdem sollte überprüft werden, welche Benutzer Mitglied der Gruppe „DNSAdmins“ ist. Mitglieder dieser Gruppe können Anpassungen an DNS-Zonen vornehmen.

Verwaltet wird die Gruppe zum Beispiel über „Active Directory-Benutzer und -Computer“ (dsa.msc). Die Gruppe befindet sich in der Organisationseinheit „Users“ (siehe Abbildung 7). In dieser Organisationseinheit befinden sich weitere Administrator-Gruppen, deren Mitgliedschaft überprüft werden sollte.

DNS-Zonen digital signieren mit DNSSEC

Um DNS-Zonen vor Angriffen zu schützen, können diese in der DNS-Verwaltung über das Kontextmenü durch die Auswahl von „DNSSEC\Zone signieren“ vor unbefugten Änderungen geschützt werden (siehe Abbildung 8). Durch die Auswahl startet ein Assistent, mit dem die Signierung durchgeführt wird (siehe Abbildung 9).

In den meisten Fällen reicht es aus, die Option „Standardeinstellungen für die Zonensignierung verwenden“ auszuwählen (siehe Abbildung 10). Es besteht aber auch die Möglichkeit, die Signierung manuell zu konfigurieren. Dazu wird die Option „Zonensignaturparameter anpassen“ gewählt (siehe Abbildung 10). Werden die Standardparameter verwendet, signiert der Server die Zone und meldet die erfolgreiche Signierung anschließend (siehe Abbildung 11).

Nach der ersten Signierung stehen im Kontextmenü von Zonen über „DNSSEC“ neue Optionen zur Verfügung. Mit „Eigenschaften“ können auf Wunsch Einstellungen bezüglich der DNS-Signierung vorgenommen werden (siehe Abbildung 12). Das ist allerdings selten notwendig.

Werden signierte DNS-Zonen über das Kontextmenü aktualisiert, sind die Signaturen der einzelnen Einträge zu erkennen. Clients können ab jetzt überprüfen, ob ein DNS-Eintrag auch vom erwarteten DNS-Server stammt und nicht manipuliert wurde (siehe Abbildung 13). Die Zone erhält außerdem als Icon ein kleines Schloss, was die Signierung symbolisiert. Die Einträge der Signierung können in der DNS-Verwaltung aufgerufen werden. Der signierte Datensatz ist in der DNS-Verwaltung zu sehen (siehe Abbildung 14).

Gruppenrichtlinien für die digitale Signierung nutzen

Damit Clients DNS-Anfragen signiert erhalten und verarbeiten können, müssen Gruppenrichtlinien erstellt oder Einstellungen von vorhandenen Gruppenrichtlinien angepasst werden. Generell ist es für die Verwaltung von Gruppenrichtlinien besser, wenn für DNSSEC eine eigene Richtlinie erstellt wird, aus der hervorgeht, dass hier Sicherheitseinstellungen für DNSSEC vorgenommen werden.

Die Einstellungen befinden sich im Gruppenrichtlinienverwaltungseditor bei „Computerkonfiguration\Richtlinien\Windows-Einstellungen\Namensauflösungsrichtlinie“. Bei „Suffix“ wird der Name der Zone eingegeben. Anschließend wird die Option „DNSSEC in dieser Regel aktivieren“ gesetzt sowie die Checkbox „Sicherstellung durch DNS-Clients erforderlich, dass Namens- und Adressdaten vom DNS-Server überprüft wurden“ aktiviert (siehe Abbildung 15). Durch einen Klick auf „Erstellen“ und „Anwenden“ wird die Richtlinie umgesetzt.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45576553 / Software)