中国移动DNS服务器安全配置手册模板.doc

密 级： 文档编号： 项目代号： 中国移动企业信息化系统 DNS服务器 安全配置手册 Version *1.*0 中国移动通信 二零零四年十一月 拟 制: 审 核: 批 准: 会 签: 标准化: 版本控制 版本号 日期 参与人员 更新说明 分发控制 编号 读者 文档权限 和文档关键关系 1 创建、修改、读取 负责编制、修改、审核 2 同意 负责本文档同意程序 3 标准化审核 作为本项目标标准化责任人，负责对本文档进行标准化审核 4 读取 5 读取 1 常见DNS攻击 6 1.1 区域传输 6 1.2 版本发觉 6 1.3 DoS攻击 6 1.4 缓存破坏(cache poisoning) 7 1.5 缓冲区溢出 7 1.6 其它攻击技术 7 2 现有DNS攻击防范方法 8 2.1 限制区域传输 8 2.2 限制版本欺骗 8 2.3 减轻DoS所造成损失 8 2.4 防御缓存破坏 8 2.5 防御缓冲区溢出 9 2.6 应用Bogon过滤 9 2.7 Split DNS 9 2.8 用路由器和防火墙做DNS安全防护 9 3 BIND安全配置 10 3.1 配置环境： 10 3.2 开启安全选项 10 3.3 配置文件中安全选项 10 3.3.1 安全日志文件 11 3.3.2 隐藏版本信息 11 3.3.3 严禁DNS域名递归查询 11 3.3.4 增加出站查询请求ID值随机性 12 3.3.5 限制对DNS服务器进行域名查询主机 12 3.3.6 限制对DNS服务器进行域名递归查询主机 12 3.3.7 指定许可哪些主机向本DNS服务器提交动态DNS更新 12 3.3.8 限制对DNS服务器进行区域统计传输主机 13 3.3.9 指定不接收哪些服务器区域统计传输请求 13 3.3.10 部分资源限制选项 13 3.3.11 定义ACL地址名 14 3.3.12控制管理接口 14 3.4 经过TSIG对区域统计传输进行认证和校验 15 3.4.1 用TSIG署名来进行安全DNS数据库手工更新 15 3.4.2 对区域统计传输（自动或手工）进行TSIG署名 16 3.5 实现BINDchroot 17 3.5.1 chroot虚拟根环境 17 3.5.2 操作方法 18 4 Windows DNS安全配置(MSDNS) 21 4.1 开启日志功效 22 4.2 定时更新根服务器信息 23 4.3 严禁区域文件动态更新 24 4.4 严禁区域传输 25 4.5 其它设置 26 5 安全检验列表 27 1 常见DNS攻击 现在DNS受到网络攻击大致有这么多个：区域传输、版本发觉、DoS、高速缓存破坏、缓冲区溢出等。 1.1 区域传输 进行区域传输攻击DNS方法是实施无限制区域传输或捏造许可证，造成后果是主管域名信息泄露。区域传输通常见于主DNS服务器和辅DNS服务器之间数据同时，DNS服务器能够从主服务器获取最新区数据文件副本，也就能够取得整个授权区域内全部主机信息。一旦这些信息泄漏，攻击者就能够依据它轻松地推测主服务器网络结构，并从这些信息中判定其功效或发觉那些防范方法较弱机器。 1.2 版本发觉 发觉软件版本有利于攻击者探测服务器。利用版本发觉攻击DNS方法是查询版本文件，造成后果是软件版本泄密。软件版本信息极少被用到，应该被改变或清空。BIND（Berkeley Internet Name Domain）DNS 守护进程会响应很多dig版本查询，许可远程攻击者识别它版本。 1.3 DoS攻击 Dos是Denial of Service缩写，意为拒绝服务。DoS攻击是网络上一个简单但很有效破坏性攻击手段，其中SYN Flood攻击是最为常见DoS攻击方法。 SYN Flood攻击就是攻击者利用伪造IP地址，连续向被攻击服务器发送大量SYN包。被攻击服务器收到这些SYN包后，连续向那些虚假用户机（伪造IP地址指向用户机）发送ACK确定包。很显然，服务器是不会收到ACK确定包，于是服务器就只能等候了。当服务器因超时而丢弃这个包后，攻击者虚假SYN包又源源不停地补充过来。在这个过程中，因为服务器不停顿地处理攻击者SYN包，从而正常见户发送SYN包会被丢弃，得不四处理，从而造成了服务器拒绝服务。 1.4 缓存破坏(cache poisoning) 这是DNS面临一个很普遍攻击．它利用了DNS缓存机制使某个名字服务器在缓存中存入错误数据。当某名字服务器A收到递归查询请求，而A数据库内没有对应资源统计，那么它就会转发给名字服务器B，B做出应答，把回复放在报文回复区中，同时又会在附加区中填充部分和查询不太相关数据，A接收这条应答报文，而且对附加区中数据不做任何检验，直接放在缓存中。这么使得攻击者能够经过在B中存放部分错误数据，让A把这些错误数据存放在缓存中。在这些数据生存期TTL内，A又可能会把它们发送给别服务器，造成更多服务器缓存中毒。即使缩短缓存数据TTL能减小受害面，但这种方法会给服务器性能带来负面影响。 1.5 缓冲区溢出 和任何其它应用程序一样，DNS也轻易出现内存溢出。授权DNS服务器能够和Internet任何系统交互，所以DNS已经成为缓冲区溢出漏洞最普遍受害者。 1.6 其它攻击技术 假如攻击者能够嗅探网络流量，后果将是不可预料。欺骗区域传输、欺骗查询应答和中间人攻击全部很轻易进行。网络泄密是较高风险漏洞。对于一次恶意攻击来说，攻击一台DNS就像逆向工作。经过中间人进行DNS查询欺骗完全能够被攻击者控制。查询流量通常是由UDP完成，而且只交换公开信息。 2 现有DNS攻击防范方法 DNS服务器最常见安全方法就是限制谁能访问它：服务器只需要和有限终端用户端通信。限制访问能够阻止未授权用户使用服务器，从而有可能阻止查看漏洞等级行为。为了尽可能降低暴露漏洞，除了打开有数据进出授权服务器UDP端口53外，全部端口全部应该严禁Internet访问。在部分特殊情况下，TCP端口53也需要打开，但应该尽可能将其关闭。 2.1 限制区域传输 能够禁用区域传输，而使用rsync软件（）进行安全文件同时。在DNS守护进程外部，经过加密通道进行区域文件同时，能够很好地分离守护进程操作和数据同时操作。假如区域传输被严禁，攻击者将接收到传输失败消息。 2.2 限制版本欺骗 经过对应设置限制版本欺骗。 2.3 减轻DoS所造成损失 很多操作系统特征能够遏制SYN包攻击，而且很多类似网络设备能够验证包和丢掉欺骗包。防御DoS攻击最好方法是采取事故反应计划和IDS传感器数据。 2.4 防御缓存破坏 缓存破坏很轻易防御。全部DNS守护进程全部能够选择关闭缓存。假如缓存不能用，对服务器所做出虚假回应就没有意义。大多数最新守护进程已经有了针对缓存破坏补丁。 2.5 防御缓冲区溢出 很多工具能够预防未授权溢出。防缓冲区溢出编辑器如stackguard（）应该和最新DNS守护进程相结合。不过，即使在chroot环境中运行守护进程和限制访问能够限制暴露点，真正阻止缓冲区溢出需要一个从底层开始就安全平台。一个安全操作系统和守护进程是降低缓冲区溢出最好工具。 2.6 应用Bogon过滤 拦截无效和无用Internet IP地址，能够降低DoS攻击时网络负担，有利于通知网管关注网络问题。在网络边界，防火墙和应用程序访问控制列表内部，应用Rob ThomasBogon List，能够可靠地清除不需要网络流量，并预防滥用网络。Bogon List见： 。 2.7 Split DNS 采取Split DNS技术把DNS系统划分为内部和外部两部分，外部DNS系统在公共服务区，负责正常对外解析工作：内部DNS系统则专门负责解析内部网络主机。当内部要查询Internet上域名时。就把查询任务转发到外部DNS服务器上，然后由外部DNS服务器完成查询任务。把DNS系统分成内外两个部分好处于于Internet上其它用户只能看到外部DNS系统中服务器，而看不见内部服务器。而且只有内外DNS服务器之间才交换DNS查询信息，从而确保了系统安全性。采取这种技术能够有效地预防信息泄漏。 2.8 用路由器和防火墙做DNS安全防护 采取部分网络及安全设备能更有效保护DNS安全。 假如在没有防火墙情况下，能够直接在路由器上设置ACL访问控制列表，只许可对DNSTCP和UDP53端口进行访问，其它访问一律丢弃； 假如采取防火墙来保护则能起到愈加好效果，一样对DNS访问除了TCP和UDP53端口开放之外，拒绝其它全部访问。 同时，目前主流防火墙如CheckPoint和Netcreen等全部有防DNS欺骗功效，即使其它非DNS访问或攻击行为经过封装成53端口伪造成正常DNS请求，防火墙也能够对这些虚假请求进行检验，只要是不符合DNS服务标准，则一律过滤，确保攻击行为无法经过53端口来穿透防火墙。 3 安全配置DNS守护进程 3.1 加固操作系统 安装任何守护进程之前，安全可靠操作系统应该是一个先决条件。在UNIX/LINUX系统上，chroot是一个减小系统暴露程度来降低由后台进程引发安全问题有效方法。chroot是一个相当简单概念，运行在chroot封闭环境中应用程序，不能和封闭环境外文件系统任何部分进行交互。在这么环境中运行BIND，能够增加DNS系统安全性。 对于Windows系统来说，应该立即安装Windows系统关键安全更新补丁，预防利用Windows操作系统漏洞而造成攻击。 3.2 BIND安全配置 3.1 、配置环境： FreeBSD 4.1-RELEASE； BIND 8.2.3。 3.2、 开启安全选项 　　named进程开启选项： -r：关闭域名服务器递归查询功效（缺省为打开）。该选项可在配置文件options中使用"recursion"选项覆盖。 -u <user_name>和-g <group_name>：定义域名服务器运行时所使用UID和GID。这用于丢弃开启时所需要root特权。 -t <directory>：指定当服务器进程处理完命令行参数后所要chroot()目录。 3.3 、配置文件中安全选项 Solais、FreeBSD、Linux等系统，Bind配置文件为： /etc/named.conf 3.3.1、 安全日志文件 操作方法： 假如期望统计安全事件到文件中，但同时还期望保持原有日志模式，能够添加以下内容： logging { channel my_security_channel { file "my_security_file.log" versions 3 size 20m; severity info; }; category security { my_security_channel; default_syslog; default_debug; }; } 　　其中my_security_channel是用户自定义channel名字，my_security_file.log是安全事件日志文件，可包含全路径（不然是以named进程工作目录为目前目录）。 安全事件日志文件名为my_security_file.log，保留三个最近备份 （my_security_file.log0、my_security_file.log1、my_security_file.log2）， 日志文件最大容量为20MB，（假如达成或超这一数值，直到该文件被再次打开前，将不再统计任何日志消息。缺省（省略）时是没有大小限制。） 操作结果： 日志统计完整，全部异常问题全部会在日志文件统计。 3.3.2、 隐藏版本信息 操作方法： 在options节中增加自定义BIND版本信息，可隐藏BIND服务器真正版本号。 version "Who knows?"; // version 9.9.9; 操作结果： 　　此时假如经过DNS服务查询BIND版本号时，返回信息就是"Who knows?"，隐藏了真实版本号。 3.3.3、 严禁DNS域名递归查询 操作方法 要严禁DNS域名递归查询，在options（或特定zone区域）节中增加： recursion no; fetch-glue no; 操作结果 预防了DNS域名递归查询。 3.3.4、 增加出站查询请求ID值随机性 操作方法 在options节中增加： use-id-pool yes; 　　则服务器将跟踪其出站查询ID值以避免出现反复，并增加随机性。注意这将会 使服务器多占用超出128KB内存。（缺省值为no 操作结果 服务器将跟踪其出站查询ID值以避免出现反复，并增加随机性。注意这将会 使服务器多占用超出128KB内存，缺省值为no。） 3.3.5、 限制对DNS服务器进行域名查询主机 操作方法 在options（或特定zone区域）节中增加： allow-query { <address_match_list> }; address_match_list是许可进行域名查询主机IP列表，如"1.2.3.4; 5.6.7/24;"。 操作结果 限制对DNS服务器进行域名查询主机。。 3.3.6、 限制对DNS服务器进行域名递归查询主机 操作方法 在options（或特定zone区域）节中增加： allow-recursion { <address_match_list> }; address_match_list是许可进行域名递归查询主机IP列表，如 "1.2.3.4; 5.6.7/24;"。 操作结果 限制了对DNS进行域名递归查询主机。 3.3.7、 指定许可哪些主机向本DNS服务器提交动态DNS更新 操作方法： 在options（或特定zone区域）节中增加： allow-update { <address_match_list> }; address_match_list是许可向本DNS服务器提交动态DNS更新主机IP列表，如 "1.2.3.4; 5.6.7/24;"。 缺省时为拒绝全部主机提交。操作结果 缺省时为拒绝全部主机提交，完成操作后只有指定主机能够提交动态DNS更新。 3.3.8、 限制对DNS服务器进行区域统计传输主机 操作方法 在options（或特定zone区域）节中增加： allow-transfer { <address_match_list> }; address_match_list是许可进行区域统计传输主机IP列表，如"1.2.3.4; 5.6.7/24;"。 操作结果 只有特定主机能够进行区域传输，降低了受区域传输攻击风险。 3.3.9、 指定不接收哪些服务器区域统计传输请求 操作方法 在options（或特定zone区域）节中增加： blackhole { <address_match_list> }; address_match_list是不接收区域统计传输请求主机IP列表，如"1.2.3.4; 5.6.7/24;"。 操作结果 不许可特定主机 进行区域传输，降低了受区域传输攻击风险。 3.3.10、 部分资源限制选项 l 操作方法不一样用户可依据实际情况灵活设置，但一定要注意不妥设置会损失DNS服务性能。 coresize <size_spec> ; // core dump最大值。缺省为default。 datasize <size_spec> ; // 服务器所使用最大数据段内存。缺省为 default。 files <size_spec> ; // 服务器能同时打开最大文件数。缺省为 // unlimited（不限制）。 // （注意，并非全部操作系统全部支持这一选项。） max-ixfr-log-size <size_spec> ; // （现在版本暂不使用。）限制增量区域统计传输时会话日志大小。 stacksize <size_spec> ; // 服务器所使用最大堆栈段内存。缺省为 default。 操作结果 不一样用户可依据实际情况灵活设置，但一定要注意不妥设置会损失DNS服务性能。 3.3.11、 定义ACL地址名 操作方法 即用于上面<address_match_list>。注意，假如要使用这里定义列表名，必需先定义，后使用！ 比如： acl intranet { 192.168/16; }; acl partner { !172.16.0.1; 172.16/12; // 除172.168.0.1外172.16.0.0/12网络中其它主机 }; BIND已内置以下四个ACL： all // 许可全部主机 none // 严禁全部主机 localhost // 本机全部网络接口 localnets // 本机所在网络 操作结果 此操作不会对系统产生不良影响。 3.3.12、控制管理接口BIND域名服务器一个有用功效 操作方法 控制管理接口controls节语法格式： controls { [ inet ip_addr port ip_port allow { <address_match_list>; }; ] [ unix path_name perm number owner number group number; ] }; controls节提供管理接口。假如使用第一个(inet)，则在指定IP（接口）和端口上监听，但只许可在allow中限定许可和其连接IP地址列表。假如使用第二种(unix)，则产生一个FIFO控制管道，权限、属主和用户组全部由其参数限定。 操作结果 上述操作提议在正确配置时不会对系统造成不良影响，但提议谨慎使用。 3.4、 经过TSIG对区域统计传输进行认证和校验 对区域传输进行认证和校验能够降低DNS服务器遭受区域传输攻击风险。 首先确保BIND域名服务器软件已更新到最新版本。 在BIND 8.2+中，能够使用事务署名（Transaction Signatures，即TSIG！） 来对区域统计数据进行验证和校验。它要求在主域名服务器和辅助域名服务器上配置好加密密钥，并通知服务器使用该密钥和其它域名服务器通讯。（注意，TSIG使用要求域名服务器必需进行时钟同时。） 3.4.1、 用TSIG署名来进行安全DNS数据库手工更新 假如需要用TSIG署名来进行安全DNS数据库手工更新，具体操作步骤很简单： 3.4.1.1、 使用BIND自带dnskeygen工具生成TSIG密钥。 # dnskeygen -H 128 -h -n tsig-key. 则会生成两个文件。 'Ktsig-key.+157+00000.key'内容以下：tsig-key. IN KEY 513 3 157 awwLOtRfpGE+rRKF2+DEiw== ； 'Kvip-key.+157+00000.private'内容以下：Private-key-format: v1.2 Algorithm: 157 (HMAC) Key: awwLOtRfpGE+rRKF2+DEiw== 。 注意这些密钥全部已经过BASE64编码了。 3.4.1.2 主域名服务器配置文件相关内容 将它们放到当地域名服务器配置文件中。比如： key tsig-key. { algorithm hmac-md5; secret "awwLOtRfpGE+rRKF2+DEiw=="; }; zone "" { ... ... allow-update { key tsig-key. ; }; } 重启named守护进程。 　　然后将这两个密钥文件复制到用户端系统（或辅助域名服务器），比如为/var /named/tsig目录。最终运行以下命令即可： nsupdate -k /var/named/tsig:tsig-key. 3.4.2、 对区域统计传输（自动或手工）进行TSIG署名 假如需要对区域统计传输（自动或手工）进行TSIG署名，则： 3.4.2.1、 用dnskeygen生成TSIG密钥 方法同4.1.1。 3.4.2.2、 主域名服务器配置文件相关内容 // 定义认证方法和共享密钥 key master-slave { algorithm hmac-md5; secret "mZiMNOUYQPMNwsDzrX2ENw=="; }; // 定义辅助域名服务器部分特征 server 192.168.8.18 { transfer-format many-answers; keys { master-slave; }; }; // 区域统计定义 zone "" { type master; file ; allow-transfer { 192.168.8.18; }; }; 3.4.2.3、 辅助域名服务器配置文件内容（节选） // 定义认证方法和共享密钥 key master-slave { algorithm hmac-md5; secret "mZiMNOUYQPMNwsDzrX2ENw=="; }; // 定义和主域名服务器通讯时部分特征 server 192.168.8.19 { transfer-format many-answers; keys { master-slave; }; }; // 区域统计定义 zone "" { type slave; file ""; masters { 192.168.8.19; }; allow-transfer { none; }; }; 3.5、 实现BINDchroot 3.5.1 chroot虚拟根环境 CHROOT虚拟根环境 CHROOT就是Change Root，即虚拟根环境，也就是改变程序实施时所参考根目录位置。 chroot基础上重定义了一个程序运行环境。更确切地说，它重定义了一个程序（或登录会话）“ROOT”目录或“/”。 也就是说，对于chroot了程序或shell来说，chroot环境之外目录是不存在。 通常目录结构是： 通常目录结构 / /bin /sbin /usr/bin /home CHROOT目录结构： Chroot目录结构 /bind/ /bind/bin /bind/usr/bin /bind/home CHROOT优点 限制使用者所能实施程序，如setuid程序。 预防使用者存取一些特定文件，如/etc/passwd。 预防入侵者运行/bin/rm -rf /。 提供Guest服务和处罚破坏者。 增强系统安全 3.5.2 操作方法 以FreeBSD系统平台为例： 步骤一：BIND-8最新源代码版本获取和安装 请到ISC FTP站点下载BIND最新版本。 BIND 8： BIND 9： 步骤二：结构静态(static)named和named-xfer二进制文件 在编译和安装后，你需要结构可实施文件静态链接版本。只要对%BIND%/src/port/freebsd目录下Makefile.set文件稍加修改后即可。 　　修改文件内容： 'CDEBUG= -O2 -g' 替换为： 'CDEBUG= -O2 -static' 切换到BIND源代码路径，实施"make clean"和"make"命令。在下面步骤中 将会把这些文件复制到chroot()目录下。 # cd /tmp/bind/src # make clean ; make 本步骤结构静态链接实施文件在运行时无需装载动态链接库。在chroot()环 境中，这种“独立”可实施文件可避免出现缺乏链接库文件问题。它在chroot()环 境中无需任何静态链接库，可使服务配置简单化。其它全部网络守护进程也能够 编译和使用这种静态链接版本。 步骤三：结构BIND目录 为chroot()环境结构BIND目录。这个目录将在chroot()环境中被BIND看成系统根目录。在这里我使用/chroot/bind作为chroot后根目录。 # cd /chroot/bind # mkdir /chroot # mkdir /chroot/dev # mkdir /chroot/etc # mkdir /chroot/etc/namedb # mkdir /chroot/usr # mkdir /chroot/usr/sbin # mkdir /chroot/var # mkdir /chroot/var/run 　　需要复制以下文件到其下对应子目录中，和进行部分必需处理： # cp /etc/namedb/named.conf /chroot/bind/etc/ # cp /etc/localtime /chroot/bind/etc/ # grep bind /etc/group > /chroot/bind/etc/group # cp -R /etc/namedb/ /chroot/bind/etc/namedb/ # mknod /chroot/bind/dev/null c 2 2 # chmod 666 /chroot/bin/dev/null # cp /tmp/bind/src/bin/named/named /chroot/bind/usr/sbin/ # cp /tmp/bind/src/bin/named-xfer/named-xfer /chroot/bind/ 另外还可依据需要指定日志统计目录（如/var/log），请参考下面章节或 named.conf手册页。 步骤四：添加bind用户和组（假如没有话。假如已经有bind或named之类用户和组，请跳过本步骤。） 在/etc/passwd和/etc/group文件中添加bind用户和组。它们是DNS服务器运行时UID/GID。 此时，能够到chroot环境中实施"chown -R bind.bind /chroot/bind/etc/ namedb"命令。这么当向系统发送中止信号(kill -INT 时，named进程能够保留 服务器缓存和统计信息。假如该目录为root全部则named进程无法将输出写到目录中，但不会影响named服务器功效。另一个选择是仅改变目录权限（使named用户含有写权限），而属主仍然是root。这种方法也是可行，但必需小心设置，确保其它用户不会修改named统计。 *** 关键警告*** 不要用一个已存在UID/GID（如"nobody"）运行named。记住，以chroot环境中使用任何已存在UID/GID全部可能会影响到服务安全性。必需养成在chroot环境中为每一个守护进程提供独立UID/GID习惯。 步骤五：其它必需调整 　　假如在named.conf中还指定了另外目录和文件，也要对应地在chroot()环境中（在本例中即/chroot/bind/目录）进行设置。 步骤六：调试 1、终止系统中原有syslogd和named守护进程。 # killall syslogd named 2、用合适参数重新开启syslogd守护进程。 # syslogd -s -p /chroot/bind/var/run/log 3、用合适参数重新开启named守护进程。 # /chroot/bind/named -u bind -g bind -t /chroot/bind 4、检验syslogd/named守护进程、监听端口是否正常，和/var/log/messages文件中named进程开启时是否正常。 # ps auwx|grep syslogd root 5896 0.0 1.7 896 508 ?? Ss 9:44PM 0:00.10 syslogd -s -p /chroot/bind/var/run/log # ps auwx|grep named bind 5941 0.0 4.9 1652 1444 ?? Is 9:52PM 0:00.01 /chroot/bind/usr/sbin/named -u bind -g bind -t /chroot/bind # netstat -an|grep 53 tcp4 0 0 127.0.0.1.53 *.* LISTEN tcp4 0 0 192.168.8.19.53 *.* LISTEN udp4 0 0 127.0.0.1.53 *.* udp4 0 0 192.168.8.19.53 *.* 步骤七：修改系统开启脚本 　　对于FreeBSD系统，在/etc/rc.conf文件中增加以下内容即可： syslogd_enable="YES" # 假如期望严禁向外发送日志，将-s换成-ss。 syslogd_flags="-s -p /chroot/bind/var/run/log" named_enable="YES" named_program="/chroot/bind/usr/sbin/named" named_flags="-u bind -g bind -t /chroot/bind" 　　注：假如在其它系统平台，如OpenBSD、Linux、Solaris，则可能会稍有不一样。 关键是不一样平台上syslog实现不尽相同。比如对于OpenBSD和Linux系统，打开日 志别名socket命令是"syslogd -a /chroot/bind/var/run/log"，而Solaris syslogd守护进程则不支持别名。所以Solaris系统平台上chroot需要经过另外方法实现。 4 Windows MS DNS安全配置(MSDNS) MSDNS能够依据多个特殊需求实施。依据物理网络位置和想要管理方法，有4种常见实施方法（注意不推荐在企业外部环境实施MSDNS，尤其是在有活动目录时）： 应用文本区域文件内部解析 和活动目录集成内部解析 和活动目录集成外部解析 应用文本区域文件外部解析。 依据基础体系需要，直接安装所需服务。安装文本区域文件，要在最初DNS服务器向导中选择“标准关键区域”。图4-1。 图4-1 Windows DNS 服务器安装 安装基于文本文件DNS服务，修改多个选项，包含日志、根服务器和区域传输，能够增强系统，预防大多数恶意篡改。 4.1 开启日志功效 因为每个网络基础体系结构全部不一样，怎样选择适宜日志水平取决于系统管理员，图4-2。对不常见DNS行为进行统计，比如Write Through, Notify, TCP或Full Packets，会使日志审计实施时间间隔愈加符合实际。而常见DNS行为，比如UDP，Update和Query，应该只在调试DNS服务器时，或在服务器流量很少时才给予统计。 图4-2 DNS日志 4.2 定时更新根服务器信息 根服务器常常会发生改变，比如，b.root-基础IP地址在1月变为：192.228.79.201。DNS系统管理员应该跟踪最新改变（ ），立即更新根服务器IP。图4-3。 图4-3 更新根服务器信息 4.3 严禁区域文件动态更新 完成了最初服务配置后，应该单独查看每个区域文件。每个区域优先级应该重新考虑，并进行对应修改。区域文件能够动态更新。这个选项默认是禁用，通常不应该被更改。图4-4。 图4-4 禁用区域文件动态更新 对于内部DNS解析，常见布署是集成DHCP服务器和活动目录。和活动目录集成很稳健。在实施之前，应该全方面根当地检验活动目录安全性。假如需要运行外部解析服务器，推荐使用文本区域文件。文本区域文件在%SystemRoot%\DNS。除了SYSTEM组外，DNS文件夹应该配置成拒绝全部访问。除了修改目录权限，还要隐藏区域文件位置。 对HKEY_LOCAL_M