Hier soll es um eine einfache Maßnahme gehen, welche die Sicherheit des Microsoft DNS Servers steigert. Das primäre Einsatzgebiet des Microsoft DNS Server ist sicherlich das Active Directory. Gerade hier sind Manipulationen schwerwiegend und unerwünscht.
Durch diese Maßnahme soll die DNS Sicherheit erhöht werden ohne Funktionalität einzuschränken.
Was ist das Problem bezüglich der DNS Sicherheit?
Das Problem ist, dass in der Standardeinstellung jeder (gegen das Active Directory) authentifizierte Benutzer das Recht hat einen Eintrag im DNS zu erstellen.
Quelle: © Alexander BuschDieser Umstand lässt sich in gewissen Angriffsszenarien ausnutzen, z. B. in Man-in-the-Middle-Angriffen
Gegenmaßnahmen
Die vorgeschlagene Verbesserung besteht darin, die Identität, der das Recht zum Erstellen von DNS-Einträgen (Berechtigung Alle untergeordneten Objekte erstellen) erteilt wurde, von Authentifizierte Benutzer auf Domänencomputer zu ändern.
Für diese Anpassung ändern Sie die Eigenschaften bzw. Sicherheitseinstellungen der jeweiligen DNS-Zone.
Die Anpassung ist schnell umgesetzt:
Quelle: © Alexander BuschAnmerkungen
Falls ein Angreifer mittels Privilegienerweiterung ein Computerkonto übernommen hat, kann dieser auch DNS-Einträge erstellen.
Die Hürde ein Computerkonto zu übernehmen ist jedoch höher. Somit ist diese Maßnahme insgesamt als sinnvoll anzusehen.
