3、保护 DNS 区域

    DNS 区域配置选项对于标准和集成了 Active Directory 的 DNS 区域具有安全意义：

 配置安全的动态更新。
 
    默认情况下，“动态更新”设置未被配置为允许动态更新。这是最安全的设置，因为它能够防止攻击者更新 DNS 区域，但是，该设置也可阻止您利用动态更新所提供的管理优势。要使计算机安全更新 DNS 数据，应将 DNS 区域存储在 Active Directory 中，并使用安全的动态更新功能。安全的动态更新将 DNS 区域更新限制为只更新已验证且已加入 DNS 服务器所在的 Active Directory 域的那些计算机，同时还限制为更新 DNS 区域的 ACL 中定义的特定安全设置。

 限制区域传输。

    默认情况下，DNS 服务器服务只允许将区域信息传送给区域的名称服务器 (NS) 资源记录中列出的服务器。这是一种安全配置，但是，为实现更强的安全性，该设置应更改为允许向指定 IP 地址进行区域传输的选项。更改该设置以允许向任意服务器进行区域传输会将企业 DNS 数据暴露给试图跟踪企业网络的攻击者。

    4、DNS 区域数据恢复

    如果 DNS 数据已经损坏，可从 systemroot/DNS/Backup 文件夹下的备份文件夹还原 DNS 区域文件。首次创建区域时，区域副本将添加到备份文件夹。要恢复该区域，应将备份文件夹中的原始区域文件复制到 systemroot/DNS 文件夹中。使用“新建区域向导”创建区域时，应将 systemroot/DNS 文件夹中的区域文件指定为新建区域的区域文件。

    5、保护 DNS 资源记录

    DNS 资源记录配置选项对于标准和集成了 Active Directory 的 DNS 区域中存储的资源记录具有安全意义：管理 Active Directory 中存储的 DNS 资源记录上的随机访问控制列表 (DACL)。 DACL 允许我们控制对于可能控制 DNS 资源记录的 Active Directory 用户和组的权限。

    6、保证 DNS 客户端的安全

    保证DNS 客户端安全措施如下：

 如有可能，应为 DNS 客户端使用的首选和备用 DNS 服务器指定静态 IP 地址。

    如果已将 DNS 客户端配置为自动获取其 DNS 服务器地址，它将从 DHCP 服务器获取它们。如果这种获取 DNS 服务器地址的方法比较安全，其安全性也只是与 DHCP 服务器一样。使用首选和备用 DNS 服务器的静态 IP 地址配置 DNS 客户端，可减少攻击者可能采用的一种攻击方法。

 控制哪些 DNS 客户端拥有 DNS 服务器访问权限。

    如果将 DNS 服务器配置为只侦听特定 IP 地址，只有配置为使用这些 IP 地址作为首选和备用 DNS 服务器的 DNS 客户端将与 DNS 服务器通信。