DNS服務器是(Domain Name System或者Domain Name Service)域名係統或者域名服（fú）務,域名係（xì）統為（wéi）Internet上的主機分配域名地址和IP地址。用戶使用域名地（dì）址，該係統就會自動把域名地址轉為IP地（dì）址。域名服務是運行域名係統的Internet工具。執行域名服務的（de）服務器（qì）稱之為DNS服務器，通過DNS服務器來應答域名服務的（de）查詢。

DNS軟件是黑客熱衷攻擊的目標，它可能帶來安（ān）全問題。下麵是（shì）保護DNS服務器（qì）的幾（jǐ）種方法。

步驟（zhòu）/方法

禁用區域傳（chuán）輸
　　區域傳輸發（fā）生（shēng）在主DNS服（fú）務器和（hé）從DNS服務器之間。主DNS服務器授權特定域名，並且帶有可改寫的DNS區域文件，在需要的時候（hòu）可以對該文件進行更新（xīn）。從DNS服務器從主力DNS服務器接收這些（xiē）區域文件的隻讀拷貝。從DNS服（fú）務器被用於提高來自內部或者互聯網DNS查詢響應性能。
　　然而，區域傳（chuán）輸（shū）並不僅僅針（zhēn）對從DNS服務器。任何一個能夠發出DNS查詢請求的人都可能（néng）引起DNS服務器配置改變，允許區域傳輸傾倒自己的區域數據庫文件。惡意用戶可以使用（yòng）這些信息（xī）來偵（zhēn）察你組織內部的命名計劃，並攻擊（jī）關鍵服務架構。你可以配置你的DNS服務器，禁止區域傳輸請求，或者僅允許針對組織內特定服務器進行區域傳輸（shū），以此來進行安全防範。

使DNS隻用（yòng）安全連接
　　很多DNS服務器接受動態更（gèng）新。動態更新特性使這些DNS服務器能記錄使用DHCP的主機的主（zhǔ）機（jī）名和IP地址（zhǐ）。DDNS能夠極大地減（jiǎn）
　　輕DNS管（guǎn）理員的管（guǎn）理費用，否則管理員必須手工配置這些（xiē）主機的DNS資源記錄。
　　然而，如果未檢（jiǎn）測的DDNS更新，可能會帶來很嚴重的安全問題。一個惡意用戶可以配置主機成為台文件（jiàn）服務器、Web服務（wù）器（qì）或者數據庫服務器動態（tài）更新（xīn）的DNS主機記錄，如果（guǒ）有人想連接到（dào）這些服務器（qì）就一定會被轉移到其他的機器上。
　　你可以減少惡意DNS升級的風險，通過要求安（ān）全連接到DNS服務器執行動態升級。這很容易做到，你隻要配置你的DNS服務器（qì）使用活動目錄綜合區(ActiveDirectoryIntegratedZones)並要求安全動態升級就可以（yǐ）實（shí）現。這樣（yàng）一來，所有的域成員都能夠安全地、動（dòng）態更新他們（men）的DNS信息。

使用防火牆來控製DNS訪問
　　防火牆（qiáng）可以用來控製誰可以連接到你（nǐ）的DNS服務（wù）器上。對於那些僅僅響應內（nèi）部用戶查詢請求的DNS服務器，應該設置防火牆的配置，阻止外部主機連（lián）接這些DNS服務器。對於用做隻緩存轉發器的DNS服務器，應該設置（zhì）防火牆的配置，僅僅允許那些使用隻緩存轉發器的DNS服務器發來的（de）查詢請求。防火牆策略設置的重要一點（diǎn）是阻止內部用戶使用DNS協議（yì）連接外部（bù）DNS服務器。

在DNS注冊表（biǎo）中建立訪問控製
　　在基於Windows的DNS服務器中，你應該在DNS服務器相關的注冊表中設置（zhì）訪問控製，這樣隻有那些（xiē）需要訪問的（de）帳（zhàng）戶才能夠（gòu）閱（yuè）讀（dú）或修（xiū）改這些注冊表設置。
　　HKLMCurrentControlSetServicesDNS鍵（jiàn）應該僅僅允許管理員和係統帳戶訪問，這些帳戶（hù）應該擁（yōng）有完全控製權限。

在DNS文件係統入口設置訪（fǎng）問控（kòng）製
　　在基於Windows的DNS服務器中，你應該在DNS服務（wù）器相關的文件係統入口設置（zhì）訪問控製，這樣隻有需要訪問的帳（zhàng）戶才能夠閱讀（dú）或修改這些文件。
　　%system_directory%DNS文件夾及子文件（jiàn）夾應該僅僅允許係統帳戶訪問（wèn），係統帳戶應（yīng）該擁有（yǒu）完全控製權限。