Відкриті DNS-резолвери можуть стати мішенню для зловмисників, які використовують їх для DDoS-атак або інших кіберзагроз. Нижче наведено покрокову інструкцію з закриття відкритих DNS-резолверів на Windows Server 2022.

1. Перевірка конфігурації DNS-сервера

Спочатку необхідно перевірити, чи сервер налаштований на обробку лише запитів із довірених клієнтів (наприклад, із локальної мережі):

1. Запустіть PowerShell від імені адміністратора.
2. Виконайте команду:Get-DnsServerRecursion
3. У вихідних даних знайдіть параметр EnableRecursion:
   • True — рекурсивні запити дозволені (потрібно для внутрішньої мережі).
   • False — рекурсивні запити заборонені (рекомендується для зовнішніх серверів).

2. Обмеження доступу до DNS-сервера

Необхідно дозволити доступ лише з певних IP-адрес:

Через DNS Manager:

1. Відкрийте DNS Manager (команда dnsmgmt.msc).
2. Натисніть правою кнопкою на імені сервера → Properties.
3. Перейдіть на вкладку Interfaces.
4. Виберіть опцію Only the following IP addresses і додайте IP-адреси довірених клієнтів.

Через PowerShell:

Set-DnsServerSetting -ListenAddresses "127.0.0.1","192.168.1.1"

Замініть 127.0.0.1 і 192.168.1.1 на IP-адреси вашої мережі.

3. Вимкнення рекурсивних запитів

Рекурсивні запити дозволяють серверу шукати відповіді на зовнішніх DNS-серверах. Якщо цього не потрібно:

Через DNS Manager:

1. Відкрийте властивості сервера.
2. На вкладці Advanced зніміть прапорець із пункту Enable recursion.

Через PowerShell:

Set-DnsServerRecursion -Enable $false

4. Налаштування брандмауера

Заблокуйте доступ до порту 53 з невідомих IP-адрес:

Через Windows Defender Firewall:

1. Відкрийте Windows Defender Firewall with Advanced Security.
2. Створіть нове правило для вхідного трафіку.
3. Вкажіть Port → UDP та TCP → порт 53.
4. Дозвольте доступ лише для довірених IP-адрес.

Через PowerShell:

New-NetFirewallRule -DisplayName "Allow DNS from Trusted IPs" -Direction Inbound -Protocol UDP -LocalPort 53 -RemoteAddress 192.168.1.0/24 -Action Allow New-NetFirewallRule -DisplayName "Block DNS from Untrusted IPs" -Direction Inbound -Protocol UDP -LocalPort 53 -RemoteAddress Any -Action Block            

5. Перевірка

Після налаштування протестуйте доступність сервера:

• Скористайтеся онлайн-інструментами, наприклад, Open Resolver Test.
• Перевірте локально через PowerShell:nslookup example.com 

Запити з невідомих IP-адрес мають блокуватися.

Дотримуючись цих кроків, ви закриєте ваш DNS-сервер від зовнішніх загроз і зменшите ризик зловживань. Це базова, але важлива міра для захисту вашої мережі.