Freigeben über


Verwenden der DNS-Richtlinie zum Anwenden von Filtern auf DNS-Abfragen

Erfahren Sie in diesem Thema, wie Sie die DNS-Richtlinie in Windows Server 2016 konfigurieren, um Abfragefilter zu erstellen, die auf den von Ihnen angegebenen Kriterien basieren.

Mit Abfragefiltern in der DNS-Richtlinie können Sie den DNS-Server so konfigurieren, dass er basierend auf der DNS-Abfrage und dem DNS-Client reagiert, der die DNS-Abfrage sendet.

Sie können beispielsweise eine DNS-Richtlinie mit einer Abfragefilterblockierliste konfigurieren, die DNS-Abfragen von bekannten böswilligen Domänen blockiert. Dadurch wird verhindert, dass DNS auf Abfragen aus diesen Domänen reagiert. Da keine Antwort vom DNS-Server gesendet wird, tritt bei der DNS-Abfrage des böswilligen Domänenmitglieds ein Timeout auf.

Ein anderes Beispiel ist das Erstellen einer Abfragefilterpositivliste, mit der nur eine bestimmte Gruppe von Clients bestimmte Namen auflösen kann.

Abfragefilterkriterien

Sie können Abfragefilter mit einer beliebigen logischen Kombination (AND/OR/NOT) der folgenden Kriterien erstellen.

Name BESCHREIBUNG
Clientsubnetz Name eines vordefinierten Clientsubnetzes. Wird verwendet, um das Subnetz zu überprüfen, von dem die Abfrage gesendet wurde.
Transportprotokoll In der Abfrage verwendete Transportprotokoll. Mögliche Werte sind UDP und TCP.
Internetprotokoll Das in der Abfrage verwendete Transportprotokoll. Mögliche Werte sind IPv4 und IPv6.
IP-Adresse der Serverschnittstelle Die IP-Adresse der Netzwerkschnittstelle des DNS-Servers, der die DNS-Anforderung empfangen hat.
FQDN Der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Eintrags in der Abfrage mit der Möglichkeit, einen Platzhalterwert zu verwenden.
Abfragetyp Der Typ des abgefragten Eintrags (A, SRV, TXT usw.).
Tageszeit Die Tageszeit, zu der die Abfrage empfangen wird.

Die folgenden Beispiele zeigen, wie Sie Filter für DNS-Richtlinien erstellen, die Abfragen zur DNS-Namensauflösung blockieren oder zulassen.

Hinweis

Die Beispielbefehle in diesem Thema verwenden den Windows PowerShell-Befehl Add-DnsServerQueryResolutionPolicy. Weitere Informationen finden Sie unter Add-DnsServerQueryResolutionPolicy.

Blockieren von Abfragen von einer Domäne

Unter bestimmten Umständen können Sie DNS-Namensauflösung für Domänen blockieren, die Sie als böswillig identifiziert haben, oder für Domänen, die nicht den Nutzungsrichtlinien Ihrer Organisation entsprechen. Sie können mithilfe von DNS-Richtlinien bewirken, dass Abfragen für Domänen blockiert werden.

Die Richtlinie, die Sie in diesem Beispiel konfigurieren, wird nicht für eine bestimmte Zone erstellt. Stattdessen erstellen Sie eine Richtlinie auf Serverebene, die auf alle Zonen angewendet wird, die auf dem DNS-Server konfiguriert sind. Richtlinien auf Serverebene werden zuerst ausgewertet und damit auch zuerst abgeglichen, wenn eine Abfrage vom DNS-Server empfangen wird.

Mit dem folgenden Beispielbefehl wird eine Richtlinie auf Serverebene konfiguriert, um alle Abfragen mit dem Domänensuffix contosomalicious.com zu blockieren.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.contosomalicious.com" -PassThru

Hinweis

Wenn Sie den Action-Parameter mit dem Wert IGNORE konfigurieren, wird der DNS-Server so konfiguriert, dass Abfragen ohne jegliche Antwort gelöscht werden. Dadurch tritt für den DNS-Client in der böswilligen Domäne ein Timeout auf.

Blockieren von Abfragen aus einem Subnetz

In diesem Beispiel können Sie Abfragen aus einem Subnetz blockieren, wenn festgestellt wird, dass es mit Schadsoftware infiziert ist und versucht, eine Verbindung mit böswilligen Websites über Ihren DNS-Server herzustellen.

` Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" -PassThru `

Im folgenden Beispiel wird gezeigt, wie Sie die Subnetzkriterien in Kombination mit den FQDN-Kriterien verwenden können, um Abfragen für bestimmte böswillige Domänen aus infizierten Subnetzen zu blockieren.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" –FQDN “EQ,*.contosomalicious.com” -PassThru

Blockieren eines Abfragetyps

Möglicherweise müssen Sie Namensauflösung für bestimmte Arten von Abfragen auf Ihren Servern blockieren. Sie können beispielsweise die Abfrage „ANY“ blockieren, die böswillig zum Erstellen von Amplification Attacks verwendet werden kann.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyQType" -Action IGNORE -QType "EQ,ANY" -PassThru

Zulassen von Abfragen nur aus einer Domäne

Sie können DNS-Richtlinien nicht nur zum Blockieren von Abfragen verwenden, sondern auch zur automatischen Genehmigung von Abfragen von bestimmten Domänen oder aus bestimmten Subnetzen. Wenn Sie Positivlisten konfigurieren, verarbeitet der DNS-Server nur Abfragen von zulässigen Domänen, während alle anderen Abfragen von anderen Domänen blockiert werden.

Der folgende Beispielbefehl erlaubt nur Computern und Geräten in der Domäne contoso.com und untergeordneten Domänen die Abfrage des DNS-Servers.

Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com" -PassThru

Zulassen von Abfragen nur aus einem Subnetz

Sie können auch Positivlisten für IP-Subnetze erstellen, sodass alle Abfragen, die nicht aus diesen Subnetzen stammen, ignoriert werden.

Add-DnsServerClientSubnet -Name "AllowedSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet” -Action IGNORE -ClientSubnet "NE, AllowedSubnet06" -PassThru

Zulassen nur bestimmter QTypes

Sie können Positivlisten auf QTYPEs anwenden.

Wenn Sie beispielsweise externe Kunden haben, die die DNS-Serverschnittstelle 164.8.1.1 abfragen, dürfen nur bestimmte QTYPEs abgefragt werden, während andere QTYPEs wie SRV- oder TXT-Einträge von internen Servern für die Namensauflösung oder zu Überwachungszwecken verwendet werden.

Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,164.8.1.1” -PassThru

Sie können Tausende von DNS-Richtlinien für Ihre Anforderungen an die Datenverkehrsverwaltung erstellen. Alle neuen Richtlinien werden bei eingehenden Abfragen dynamisch angewendet – ohne dass der DNS-Server neu gestartet werden muss.