Posouzení zabezpečení: Nebezpečná oprávnění ve skupině DnsAdmins
Toto doporučení obsahuje seznam všech členů skupiny DNS Admins, kteří nejsou privilegovaným uživatelem. Privilegované účty jsou účty, které jsou členy privilegované skupiny, jako jsou správci domény, správci schémat, řadiče domény jen pro čtení atd.
Proč je důležité zkontrolovat členy skupiny DnsAdmins?
Ve službě AD je skupina DnsAdmins privilegovanou skupinou, která má správní kontrolu nad službou serveru DNS v rámci domény. Členové této skupiny mají možnost spravovat servery DNS, což zahrnuje úlohy, jako je konfigurace zón DNS, správa záznamů a úprava nastavení DNS.
Skupinu DnsAdmins je možné delegovat správcům, kteří nejsou správci služby AD, jako jsou správci síťových funkcí, jako je DNS nebo DHCP, což z těchto účtů činí atraktivní cíle pro ohrožení zabezpečení.
Návody použít toto posouzení zabezpečení ke zlepšení stavu zabezpečení organizace?
Projděte si seznam vystavených entit a identifikujte neprivilegované účty s rizikovými oprávněními.
Proveďte s těmito účty příslušnou akci odebráním účtů ze skupiny DnsAdmins. Pokud některé účty vyžadují tato oprávnění, udělte jim jenom konkrétní potřebný přístup.
Příklady:
