DNS Zonen Berechtigung anpassen
In den letzten Tagen habe ich vermehrt festellen dürfen, das es immer noch DNS-Server gibt, die so eingestellt sind, das auch unsichere dynamische Updates zugelassen sind.
DNS Server absichern
Der erste Weg sollte die Umstellung auf nur sichere dynamische Updates sein. So das nur authentifizierte Benutzer, also Computer Updates übermitteln und Einträge erzeugen dürfen.
Wobei diese Einstellung noch nicht ausreicht. Die Berechtigung auf den DNS-Zonen sollten ebenfallls noch optimiert werden, um den Schutz weiter zu erhöhen. Die Gruppe der “Authentifizierten Benutzer” beinhalten Benutzer und Computer, wobei ein Benutzer keine Einträge im DNS aktualisieren muss. Aber genau diese falsche Einstellung, macht es einem Angreifer sehr einfach, DNS-Einträge zu manipulieren und den Datenverkehr umzuleiten oder mitzuhören. Das Prinzipal “Authentifizierten Benutzer” ändern in “Domänencomputer”.
Mit diesen leichten Einstellungen, habt ihr als Admin, eine Menge an Sicherheit gewonnen.