Microsoft DNS Server Fingerabdruck deaktivieren

Man macht es Angreifern immer schwerer, wenn man die Dienste die man bereitstellt, so konfiguriert, dass die Version oder das Betriebssystem hierdurch nciht identifiziert werden kann.Ein sogenannter Fingerprint oder Fingerabdruck hilft dem „Angreifer“ bei der Auswahl seines Werkzeugs. Eine einfache Identifikation des DNS Servers beispielsweise, zeigt dem Angreifer welche möglichen Schwachstellen er danach prüfen muss. Verschweigt der Server seine Version und das Betriebssystem, benötigt der Angreifer wesentlich mehr Zeit.

Sobald nicht explizit Ihr Server als Ziel auserkoren wurde, wechselt der Angreifer zum nächsten DNS Server und versucht es dort.

Deaktivieren der DNS Version für öffentliche Zugriffe:

Wie kann man prüfen ob der eigene DNS Server diese Information sendet?

Wir verw4enden hierfür einen Fehler des DNS Servers, und fragen ob er ein Bind Server ist. Ein Bind DNS Server meldet sich daraufhin mit seiner Versionsnummer, zumindest die älteren Versionen werden das. Der MS DNS reagiert hierauf leider auch.

Die Rückmeldung eines MS DNS auf einem Windows Server 2008 R2

„Microsoft DNS 6.1.7601 (1DB1446A)“

Einen Überblick über die verschiedensten Typen bietet http://openresolverproject.org/version.bind.20130421.final.txt