Suchen

Schutz vor Manipulation, Hackern und versehentlichem Löschen DNS in Windows Server 2016 sicher betreiben

| Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Die Namensauflösung im Netzwerk spielt auch für die Sicherheit eine wichtige Rolle. Manipulieren Hacker DNS-Zonen, kann es passieren, dass Anwender auf kompromittierte Server zugreifen, Dienste ausfallen oder Daten verloren gehen. Es lohnt sich also, DNS vor Angriffen abzusichern.

Firma zum Thema

Für die Sicherheit des Unternehmensnetzwerks ist auch die Sicherheit der Domain Name Server entscheidend.
Für die Sicherheit des Unternehmensnetzwerks ist auch die Sicherheit der Domain Name Server entscheidend.
(Bild: © CrazyCloud - stock.adobe.com)

Angreifer, die das DNS-System in einem Netzwerk manipulieren, ändern entweder den DNS-Cache ab, betreiben Spoofing oder manipulieren ganze Zonen. Der erste Schritt, um DNS in Active-Directory-Umgebungen abzusichern, ist daher die Integration der DNS-Daten in das Active Directory und das Festlegen, dass nur authentifizierte Computer Einträge erstellen oder eigene Einträge ändern können. Dadurch erhalten Unternehmen zwar keinen perfekten Schutz, aber die Sicherheit wird dennoch erhöht. Eine weitere Sofortmaßnahme ist das Überprüfen der Berechtigungen und das Aktivieren von DNSSEC.

Bildergalerie
Bildergalerie mit 15 Bildern

Einstellungen für DNS-Zonen optimieren

Um DNS in Windows Server 2016 sicher zu konfigurieren, muss die DNS-Verwaltung in Windows Server 2016 gestartet werden – zum Beispiel mit „dnsmgmt.msc“. In der DNS-Verwaltung (siehe Abbildung 1) sind unterhalb der einzelnen DNS-Server die verschiedenen Zonen zu erkennen. Für den ersten Schritt der Absicherung sollten die Eigenschaften der DNS-Zone aufgerufen werden. Auf der Registerkarte „Allgemein“ sind erste, wichtige Sicherheits-Einstellungen vorzunehmen (siehe Abbildung 2).

Bei „Typ“ ist es sinnvoll über „Ändern“ die Option „Active Directory-integriert“ zu aktivieren (siehe Abbildung 3). Dadurch ist sichergestellt, dass die DNS-Daten zusammen mit Active Directory repliziert werden. Dies ist allerdings nur dann möglich, wenn der DNS-Server auf einem Active Directory-Domänencontroller installiert ist. In Active Directory-Umgebungen ist eine solche Konstellation aber auch sehr sinnvoll.

Danach sollte beim Punkt „Dynamische Updates“ überprüft werden, dass die Option „Nur sichere“ aktiviert ist. In diesem Fall dürfen nur Computer, die an AD authentifiziert sind, eigene Einträge erstellen. Auf der Registerkarte „Namensserver“ sollte zudem überprüft werden, ob die Namen und die IP-Adresse der Namensserver für die DNS-Zone korrekt und nur berechtigte Server enthalten sind (siehe Abbildung 4).

Werden im Netzwerk keine sekundären DNS-Server eingesetzt, ist es sinnvoll zu überprüfen, dass die primären Zonen-DNS-Server keine Zonenübertragungen zulassen, oder zumindest nur Übertragungen an fest definierte Server eingestellt sind. Dazu muss auf der Registerkarte „Zonenübertragungen“ in den Eigenschaften von Zonen die Option „Zonenübertragungen zulassen“ deaktiviert sein (siehe Abbildung 5).

Sicherheits-Einstellungen von DNS-Servern und DNS-Zonen überprüfen

In den Eigenschaften von DNS-Servern und DNS-Zonen gibt es die Registerkarte „Sicherheit“ (siehe Abbildung 6). Hier sollte überprüft werden, ob die Gruppe „Jeder“ nur „Lesen“ darf und keine unbekannten Gruppen das Recht haben, Einstellungen zu ändern. Außerdem sollte überprüft werden, welche Benutzer Mitglied der Gruppe „DNSAdmins“ ist. Mitglieder dieser Gruppe können Anpassungen an DNS-Zonen vornehmen.

Verwaltet wird die Gruppe zum Beispiel über „Active Directory-Benutzer und -Computer“ (dsa.msc). Die Gruppe befindet sich in der Organisationseinheit „Users“ (siehe Abbildung 7). In dieser Organisationseinheit befinden sich weitere Administrator-Gruppen, deren Mitgliedschaft überprüft werden sollte.

DNS-Zonen digital signieren mit DNSSEC

Um DNS-Zonen vor Angriffen zu schützen, können diese in der DNS-Verwaltung über das Kontextmenü durch die Auswahl von „DNSSEC\Zone signieren“ vor unbefugten Änderungen geschützt werden (siehe Abbildung 8). Durch die Auswahl startet ein Assistent, mit dem die Signierung durchgeführt wird (siehe Abbildung 9).

In den meisten Fällen reicht es aus, die Option „Standardeinstellungen für die Zonensignierung verwenden“ auszuwählen (siehe Abbildung 10). Es besteht aber auch die Möglichkeit, die Signierung manuell zu konfigurieren. Dazu wird die Option „Zonensignaturparameter anpassen“ gewählt (siehe Abbildung 10). Werden die Standardparameter verwendet, signiert der Server die Zone und meldet die erfolgreiche Signierung anschließend (siehe Abbildung 11).

Nach der ersten Signierung stehen im Kontextmenü von Zonen über „DNSSEC“ neue Optionen zur Verfügung. Mit „Eigenschaften“ können auf Wunsch Einstellungen bezüglich der DNS-Signierung vorgenommen werden (siehe Abbildung 12). Das ist allerdings selten notwendig.

Werden signierte DNS-Zonen über das Kontextmenü aktualisiert, sind die Signaturen der einzelnen Einträge zu erkennen. Clients können ab jetzt überprüfen, ob ein DNS-Eintrag auch vom erwarteten DNS-Server stammt und nicht manipuliert wurde (siehe Abbildung 13). Die Zone erhält außerdem als Icon ein kleines Schloss, was die Signierung symbolisiert. Die Einträge der Signierung können in der DNS-Verwaltung aufgerufen werden. Der signierte Datensatz ist in der DNS-Verwaltung zu sehen (siehe Abbildung 14).

Bildergalerie
Bildergalerie mit 15 Bildern

Gruppenrichtlinien für die digitale Signierung nutzen

Damit Clients DNS-Anfragen signiert erhalten und verarbeiten können, müssen Gruppenrichtlinien erstellt oder Einstellungen von vorhandenen Gruppenrichtlinien angepasst werden. Generell ist es für die Verwaltung von Gruppenrichtlinien besser, wenn für DNSSEC eine eigene Richtlinie erstellt wird, aus der hervorgeht, dass hier Sicherheitseinstellungen für DNSSEC vorgenommen werden.

Die Einstellungen befinden sich im Gruppenrichtlinienverwaltungseditor bei „Computerkonfiguration\Richtlinien\Windows-Einstellungen\Namensauflösungsrichtlinie“. Bei „Suffix“ wird der Name der Zone eingegeben. Anschließend wird die Option „DNSSEC in dieser Regel aktivieren“ gesetzt sowie die Checkbox „Sicherstellung durch DNS-Clients erforderlich, dass Namens- und Adressdaten vom DNS-Server überprüft wurden“ aktiviert (siehe Abbildung 15). Durch einen Klick auf „Erstellen“ und „Anwenden“ wird die Richtlinie umgesetzt.

(ID:45567268)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist