Video-Tipp: DNS-Sicherheit

DNS in Windows-Netzwerken absichern

| Autor / Redakteur: Thomas Joos / Peter Schmitz

DNS ist in Windows Server-Umgebungen mit Active Directory zwar schnell eingerichtet, aber Administratoren müssen sich auch unbedingt um die DNS-Sicherheitsaspekte kümmern!
DNS ist in Windows Server-Umgebungen mit Active Directory zwar schnell eingerichtet, aber Administratoren müssen sich auch unbedingt um die DNS-Sicherheitsaspekte kümmern! (© monsitj - stock.adobe.com)

DNS ist in Windows-Server-Umgebungen mit Active Directory zwar schnell eingerichtet, aber es sollten auch Sicherheitsaspekte eine wichtige Rolle spielen. Die Namensauflösung ist ein zentraler Part in Netzwerken, der auch entsprechend gesichert werden muss. Wir zeigen in diesem Video-Tipp worauf man achten muss.

DNS ist schnell in Betrieb, vor allem in Umgebungen mit Windows-Servern. Nach der Einrichtung sollten aber noch Sicherheitseinstellungen auf Ebene der DNS-Server, Zonen und auch in den Benutzerberechtigungen vorgenommen werden.

Wie man die Sicherheit von DNS in Windows-Server-Umgebungen sicherstellt, zeigen wir hier im Video-Tipp und in der Bildergalerie.

DNS-Zonen absichern

Um DNS-Server auf Basis von Windows-Servern nach der Einrichtung abzusichern, sollten zuerst einige, grundlegende Schritte vorgenommen werden. Zunächst sollte in den Eigenschaften der DNS-Zonen auf der Registerkarte „Allgemein“ die Option „Nur sichere“ bei „Dynamische Updates“ eingestellt werden. Das stellt sicher, dass nur authentifizierte Rechner das Recht haben dynamische Einträge zu erstellen. Wer es ganz sicher haben will, deaktiviert dynamische Updates und erstellt alle Einträge selbst.

Auf der gleichen Registerkarte gibt es die Option „Replikation“. Hier kann eingestellt werden, welche DNS-Server die Daten der DNS-Zone erhalten dürfen. Auch diese Option sollte so eingestellt werden, dass sie den Sicherheitsanforderungen im Unternehmen entspricht.

Ist ein DNS-Server gleichzeitig Domänencontroller, kann auf dieser Registerkarte auch gleich gesteuert werden, ob die DNS-Daten in Active Directory integriert und durch die Active Directory-Replikation auf andere DNS-Server und Domänencontroller repliziert werden soll.

Über die Registerkarte „Namenserver“ sollte überprüft werden, ob die richtigen Server eingetragen sind. Veraltete oder unerwünschte Server sollten hier nicht auftauchen. Auch die Registerkarte „Sicherheit“ und die Benutzergruppe „DNSAdmins“ sollte überprüft werden.

DHCP beachten

In den Einstellungen auf DHCP-Servern wird festgelegt, dass Clients, die eine IP-Adresse von einem internen DHCP-Server haben, in der DNS-Zone eingetragen werden. Die Einstellungen lassen sich im DHCP-Bereich anpassen. Hier kann übrigens auch festgelegt werden, mit welchem Benutzerkonto der DHCP-Server auf den DNS-Server zugreift, um die Eintragungen vorzunehmen.

Datenschutz mit Windows Server 2019

Microsoft-Netzwerke mit Exchange, SharePoint und SQL 2019 sicher betreiben

Datenschutz mit Windows Server 2019

25.06.19 - Der Schutz von personenbezogenen Daten spielt in Unternehmen eine immer wichtigere Rolle. Aus diesem Grund gibt es auch in jeder neuen Windows-Server-Version neue Funktionen, die es Administratoren ermöglichen sensible Daten optimal zu schützen. lesen

Best Practices Analyzer für DNS nutzen

Wenn die DNS-Infrastruktur im Einsatz ist, sollte nach der Einrichtung und auch im regelmäßigen Betrieb, der Best Practices Analyzer des Server-Managers auf Windows-Servern verwendet werden, um die Einstellungen und die Sicherheit zu überprüfen. Dazu wird zunächst der Server-Manager aufgerufen. Bereits beim Aufrufen sollte zumindest die DNS-Kachel grün umrandet sein, damit klar ist, dass hier keine Fehler vorliegen.

Durch einen Klick auf „DNS“ im Server-Manager werden die DNS-Server angezeigt, mit denen der Server-Manager verbunden ist. Im unteren Bereich ist zusätzlich noch der Kasten „Best Practices Analyzer“ zu sehen. Über „Aufgaben / BPA-Überprüfung starten“, werden die einzelnen DNS-Server überprüft, und Meldungen angezeigt. Werden nicht alle DNS-Server an dieser Stelle aufgeführt, lassen sich diese im Server-Manager über „Verwalten / Server hinzufügen“ integrieren.

Die Überprüfung dauert eine Weile. Nach der Überprüfung erscheinen teilweise Meldungen. Hier zeigt der BPA Probleme auf, deren Konsequenz und gibt Tipps, um Probleme zu lösen. Die Meldungen sollten nicht ignoriert werden. Alle Meldungen sollten durchgearbeitet, und dann das Problem gelöst werden. Über das Kontextmenü lassen sich die Meldungen auch kopieren, zum Beispiel für die Zwischenablage.

Wie man die Sicherheit von DNS in Windows-Server-Umgebungen sicherstellt, zeigen wir hier im Video-Tipp und in der Bildergalerie.

DNSSEC nutzen

In einer sicheren Umgebung sollten die DNS-Zonen zusätzlich digital signiert werden. Dadurch werden die Einträge in den Zonen geschützt. Der Vorteil besteht darin, dass Clients im Netzwerk die Antwort eines DNS-Servers auf eine Anfrage validieren können. Das schützt vor Spoofing und vor Manipulationen des Namensauflösungscaches. Die Einrichtung ist in Windows Server 2016/2019 kein größeres Problem.

Die digitale Signierung kann über die DNS-Verwaltung (dnsmgmt.msc) erfolgen. Dazu wird die entsprechende Zone mit der rechten Maustaste angeklickt und die Option „DNSSEC/Zone signieren“ gewählt. Ist die Zone bereits signiert, lassen sich hier die Einstellungen anpassen, oder die Signatur wieder entfernen. Durch das Aufrufen dieses Befehls startet ein Assistent für die Einrichtung von DNSSEC.

Die Einrichtung kann auch von Administratoren vorgenommen werden, die keine umfassenden Kenntnisse im Umgang mit Optionen für die DNS-Signierung haben. Dazu bietet der Assistent die Option „Standardeinstellungen für die Zonensignierung verwenden“. Diese Option bietet sich an. Nachträglich lassen sich Einstellungen immer noch anpassen. Im Anschluss müssen nur noch 1-2 Fenster bestätigt werden. Danach wird die Zone als digital signiert angezeigt. Signierte Zonen erhalten ein anderes Icon, sodass in der DNS-Verwaltung zu erkennen ist, welche Zonen digital signiert wurden.

Über das Kontextmenü und der Auswahl von DNSSEC lassen sich die Einstellungen der Signierung natürlich nachträglich anpassen. Dadurch können Administratoren ihre DNS-Zonen recht schnell absichern und danach diese Absicherung noch optimieren oder an die Anforderungen der Sicherheits-Abteilung anpassen. Hier lassen sich zum Beispiel auch der Schlüssel für die eigentliche Signatur festlegen. Sind die notwendigen Schlüssel erstellt, also der Schlüsselsignaturschlüssel (Key Signing Key, KSK) und der Zonensignaturschlüssel (Zone Signing Key, ZSK), lassen sich diese in den Eigenschaften auf der entsprechenden Registerkarte („KSK“ und „ZSK“) anpassen.

Server-Sicherheit mit dem Windows Admin Center

Video-Tipp: Windows Admin Center

Server-Sicherheit mit dem Windows Admin Center

28.05.19 - Windows Admin Center (WAC) ist ein Administrations-Tool von Microsoft für Windows und Windows Server, mit dem sich die Verwaltung der Systeme vereinfachen lässt. Mit dem Windows Admin Center können Administratoren außerdem Sicherheits­einstellungen wie Firewall-Regeln, Updates und Sicherungen auf Servern überprüfen und bearbeiten. lesen

Änderungen nach der Signierung von DNS-Zonen

Wenn eine Zone signiert wurde, erhält sie als Icon ein kleines Schloss. Außerdem lassen sich über das Kontextmenü bei „DNSSEC“ in der Verwaltung der Signierung Einstellungen nachträglich anpassen. Dazu kommen neue Einträge in der Zone. Hier sind die Standard-Einträge zu sehen, sowie die RR-Signatur für die einzelnen Einträge.

Damit die Clients im Netzwerk die Signatur nutzen können, muss eine Gruppenrichtlinieneinstellung angepasst werden. Idealerweise sollte für die Einrichtung eine eigene Gruppenrichtlinie erstellt werden.

Die Einstellungen dazu sind bei „Computerkonfiguration / Richtlinien / Windows-Einstellungen / Namensauflösungsrichtlinie“. Bei „Suffix“ wird das DNS-Suffix eingetragen. Dieses entspricht dem Namen der signierten Zone. Danach erfolgt die Aktivierung der Optionen „DNSSEC in dieser Regel aktivieren“ und „Sicherstellung durch DNS-Clients erforderlich, dass Namens- und Adressdaten vom DNS-Server überprüft wurden“. Anschließend wird auf „Erstellen“ und „Anwenden“ geklickt.

Schreibgeschützte Domänencontroller verwenden

In Active Directory lassen sich für unsichere Standorte von Domänencontroller auch schreibgeschützte Domänencontroller verwenden (Read-Only Domain Controller, RODC). Diese Domänencontroller nehmen keine Änderungen entgegen, sondern empfangen nur Änderungen von schreibenden Domänencontroller. Auch RODCs unterstützen signierte DNS-Zonen. Dazu legt der Server eine sekundäre Zone an und kopiert die gesicherten Daten. Das heißt, auch in Niederlassungen, bei denen die Domänencontroller nicht abgesichert werden können, lässt sich DNS-Signierung nutzen.

Sekundäre Zonen konfigurieren

Auch sekundäre DNS-Zonen lassen sich absichern. Wichtig ist in diesem Bereich, dass auf der Registerkarte „Zonenübertragungen“ eines primären Servers die Option „Zonenübertragungen zulassen“ aktiviert wird und danach die Server festgelegt, werden, welche die DNS-Zone als sekundäre Zone erhalten sollen.

Erweiterte Einstellungen für DNS-Server setzen

In den Eigenschaften von DNS-Servern steht die Registerkarte „Erweitert“ zur Verfügung. Hier lassen sich Serveroptionen steuern, mit denen auch die Sicherheit verbessert wird. Die Option „Rekursionsvorgang (und Weiterleitungen) deaktivieren“ stellt sicher, dass der Server keinerlei Anfragen an andere DNS-Server weitergibt.

Mit „Cache vor Beschädigungen sichern“ wird verhindert, dass der Cache von DNS-Server manipuliert wird. Das wird häufig über Abfrageergebnisse von Weiterleitungen erreicht.

Wie man die Sicherheit von DNS in Windows-Server-Umgebungen sicherstellt, zeigen wir hier im Video-Tipp und in der Bildergalerie.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46063979 / Betriebssystem)