Hier soll es um eine einfache Maßnahme gehen, welche die Sicherheit des Microsoft DNS Servers steigert. Das primäre Einsatzgebiet des Microsoft DNS Server ist sicherlich das Active Directory. Gerade hier sind Manipulationen schwerwiegend und unerwünscht.

Durch diese Maßnahme soll die DNS Sicherheit erhöht werden ohne Funktionalität einzuschränken.

Was ist das Problem bezüglich der DNS Sicherheit?

Das Problem ist, dass in der Standardeinstellung jeder (gegen das Active Directory) authentifizierte Benutzer das Recht hat einen Eintrag im DNS zu erstellen.

DNS Sicherheit EinstellungenQuelle: © Alexander Busch
unsichere Sicherheitseinstellungen der DNS-Zone

Dieser Umstand lässt sich in gewissen Angriffsszenarien ausnutzen, z. B. in Man-in-the-Middle-Angriffen

Gegenmaßnahmen

Die vorgeschlagene Verbesserung besteht darin, die Identität, der das Recht zum Erstellen von DNS-Einträgen (Berechtigung Alle untergeordneten Objekte erstellen) erteilt wurde, von Authentifizierte Benutzer auf Domänencomputer zu ändern.
Für diese Anpassung ändern Sie die Eigenschaften bzw. Sicherheitseinstellungen der jeweiligen DNS-Zone.
Die Anpassung ist schnell umgesetzt:

DNS Sicherheit EinstellungenQuelle: © Alexander Busch
korrigierte Sicherheitseinstellungen der DNS-Zone

Anmerkungen

Falls ein Angreifer mittels Privilegienerweiterung ein Computerkonto übernommen hat, kann dieser auch DNS-Einträge erstellen.
Die Hürde ein Computerkonto zu übernehmen ist jedoch höher. Somit ist diese Maßnahme insgesamt als sinnvoll anzusehen.

Teile diesen Beitrag

Schreibe einen Kommentar