Proteger las zonas DNS

Actualizado: enero de 2005

Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003
with SP1, Windows Server 2003 with SP2

Proteger las zonas DNS

Las siguientes opciones de configuracin de zona DNS tienen implicaciones de
seguridad para las zonas estndar y zonas DNS integradas en Active Directory:

Configure las actualizaciones dinmicas seguras. De manera

predeterminada, la configuracin de Actualizaciones dinmicas no est
configurada para permitir actualizaciones dinmicas. Esta es la configuracin
ms segura, puesto que impide que un intruso actualice zonas DNS, aunque
esta configuracin le impide aprovecharse de las ventajas de administracin
que proporciona dicha actualizacin dinmica. Para que los equipos actualicen
los datos DNS con seguridad, almacene zonas DNS en Active Directory y utilice
la caracterstica de actualizacin dinmica segura. La actualizacin dinmica
segura limita las actualizaciones de zona DNS slo a aquellos equipos
autenticados y pertenecientes al dominio de Active Directory donde el servidor
DNS est ubicado y a la configuracin de seguridad especfica definida en la
ACL de la zona DNS.
Para obtener ms informacin, vea Permitir slo actualizaciones dinmicas
seguras.

Administre la lista de control de acceso discrecional (DACL) en las

zonas DNS almacenadas en Active Directory. La DACL le permite controlar
los permisos de los usuarios y grupos de Active Directory que pueden controlar
las zonas DNS.
La siguiente tabla muestra los nombres de usuario o grupo predeterminados y
los permisos de las zonas DNS almacenadas en Active Directory.

Nombres de usuarios o grupos

Permisos

Administradores

Permitir: Leer, Escribir, Crear todos los objetos

secundarios, Permisos especiales

Usuarios autenticados

Permitir: Crear todos los objetos secundarios

Creador Propietario

Permisos especiales

Administradores de DNS

Permitir: Control total, Leer, Escribir, Crear todos

los objetos secundarios, Eliminar objetos
secundarios, Permisos especiales

Administradores del dominio

Permitir: Control total, Leer, Escribir, Crear todos

los objetos secundarios, Eliminar objetos
secundarios

Administradores de organizacin

Permitir: Control total, Leer, Escribir, Crear todos

los objetos secundarios, Eliminar objetos
secundarios

Controladores de dominio
empresariales

Permitir: Control total, Leer, Escribir, Crear todos

los objetos secundarios, Eliminar objetos
secundarios, Permisos especiales

Todos

Permitir: Leer, Permisos especiales

Acceso compatible con versiones

anteriores a Windows 2000

Permitir: Permisos especiales

Sistema

Permitir: Control total, Leer, Escribir, Crear todos

los objetos secundarios, Eliminar objetos
secundarios

Para obtener ms informacin, vea Modificar la seguridad de una zona integrada

en directorio.
El servicio del Servidor DNS que se ejecuta en un controlador de dominio que
tiene zonas almacenadas en Active Directory almacena sus datos de zona en
Active Directory utilizando objetos y atributos de Active Directory. La
configuracin de DACL en los objetos DNS de Active Directory tiene el mismo
efecto que la configuracin de la DACL en zonas DNS dentro de la consola DNS.
Por consiguiente, los administradores de seguridad de objetos de Active
Directory y de datos DNS deben estar en contacto directo para asegurar que los
administradores no inviertan sus configuraciones de seguridad respectivas.
En la tabla siguiente se describen los objetos y atributos de Active Directory
utilizados por los datos de zona DNS almacenados en Active Directory.

Objeto

Descripcin

DnsZone

Contenedor creado cuando se almacena una zona en Active Directory.

DnsNode

Objeto de hoja utilizado para asignar y asociar un nombre de la zona a

los datos de recursos.

DnsRecord

Atributo con valores mltiples de un objeto dnsNode utilizado para

almacenar los registros de recursos asociados al objeto de nodo
denominado.

DnsProperty

Atributo con valores mltiples de un objeto dnsZone utilizado para

almacenar informacin de configuracin de zona.

Para obtener ms informacin, vea Asignar, cambiar o eliminar permisos en los

objetos o atributos de Active Directory.

Restringir transferencias de zona. De forma predeterminada, el servicio del

Servidor DNS slo permite transferir informacin de zona a servidores
especificados en los registros de recurso del servidor de nombres (NS) de una
zona. Se trata de una configuracin segura, pero para aumentar la seguridad,
esta configuracin debe cambiarse a la opcin de permitir transferencias de
zona para direcciones IP especificadas. Al cambiar esta configuracin para que
permita transferencias de zona a cualquier servidor puede exponer sus datos
DNS a intrusos que intenten ocupar su red.
Para obtener ms informacin, vea Modificar la configuracin de transferencia
de zona.

Comprender el compromiso que implica la delegacin de zonas. Al

decidir si se van a delegar nombres de dominio DNS en zonas incluidas en
servidores DNS administrados de manera independiente, es importante
considerar las implicaciones de seguridad que supone proporcionar a varios
usuarios la capacidad de administrar los datos DNS de su red. La delegacin de
zonas DNS implica un compromiso entre las ventajas de seguridad que supone
tener un nico servidor DNS autorizado para todos los datos DNS y las ventajas
administrativas de distribuir la responsabilidad de su espacio de nombres DNS a
distintos administradores. Esta cuestin es muy importante al delegar dominios
de nivel superior de un espacio de nombres DNS, puesto que dichos dominios
contienen datos DNS muy importantes.
Para obtener ms informacin, vea Delegar zonas.

Recuperacin de datos de zona DNS

Si sus datos DNS estn daados, puede restaurar su archivo de zona DNS desde la
carpeta de copia de seguridad ubicada en la carpeta razSistema/DNS/Backup. Al crear
por primera vez una zona, se agrega una copia de la zona a la carpeta de copia de
seguridad. Para recuperar la zona, copie el archivo de zona original desde la carpeta de

copia de seguridad a la carpeta razSistema/DNS. Al utilizar el Asistente para crear una

zona nueva para crear la zona, especifique el archivo de zona en la carpeta
razSistema/DNS como archivo de zona de la zona nueva. Para obtener ms
informacin, vea Agregar una zona de bsqueda directa.
Nota

Esta operacin slo se aplica a zonas estndar que no estn almacenadas en

Active Directory.

En el caso de zonas estndar e integradas en Active Directory, debera utilizar la

funcin de copia de seguridad del sistema para establecer un procedimiento de
recuperacin de datos estndar para su infraestructura DNS. Para obtener ms
informacin, vea Crear un conjunto de recuperacin automtica del sistema mediante
Copia de seguridad.
Para obtener ms informacin, vea Informacin de seguridad para DNS.