Del via

Sikkerhedsvurdering: Usikre tilladelser til dnsAdmins-gruppen

  • Artikel

Denne anbefaling viser et hvilket som helst medlem af gruppen DNS-administratorer, der ikke er en privilegeret bruger. Privilegerede konti er konti, der er medlemmer af en privilegeret gruppe, f.eks. domæneadministratorer, skemaadministratorer, skrivebeskyttede domænecontrollere osv. 

Hvorfor er det vigtigt at gennemse medlemmerne af dnsadmins-gruppen?

I AD er gruppen DnsAdmins en privilegeret gruppe, der har administrativ kontrol over DNS Server-tjenesten i et domæne. Medlemmer af denne gruppe har mulighed for at administrere DNS-servere, hvilket omfatter opgaver som konfiguration af DNS-zoner, administration af poster og ændring af DNS-indstillinger.
DnsAdmins-gruppen kan delegeres til ikke-AD-administratorer, f.eks. dem, der administrerer netværksfunktioner som DNS eller DHCP, hvilket gør disse konti attraktive mål for kompromitteret.

Hvordan gør jeg bruge denne sikkerhedsvurdering til at forbedre min organisations sikkerhedsholdning?

  1. Gennemse listen over viste objekter for at identificere ikke-privilegerede konti med risikable tilladelser.

  2. Udfør de nødvendige handlinger på disse konti ved at fjerne kontiene fra gruppen DnsAdmins. Hvis nogle konti kræver disse tilladelser, skal du kun give dem den nødvendige specifikke adgang.

Det kan f.eks. være:
Skærmbillede af ikke-privilegeret konto.

Næste trin

Få mere at vide om Microsoft Secure Score