Sicherheitsbewertung: Unsichere Berechtigungen für die Gruppe DnsAdmins
Diese Empfehlung listet alle Mitglieder der Gruppe DNS-Administratoren auf, die kein privilegierter Benutzer sind. Privilegierte Konten sind Konten, die Mitglieder einer privilegierten Gruppe sind, z. B. Domänenadministratoren, Schemaadministratoren, schreibgeschützte Domänencontroller usw.
Warum ist es wichtig, die Mitglieder der Gruppe DnsAdmins zu überprüfen?
In AD ist die Gruppe DnsAdmins eine privilegierte Gruppe, die über die administrative Kontrolle über den DNS-Serverdienst innerhalb einer Domäne verfügt. Mitglieder dieser Gruppe haben die Möglichkeit, DNS-Server zu verwalten, was Aufgaben wie das Konfigurieren von DNS-Zonen, das Verwalten von Einträgen und das Ändern von DNS-Einstellungen umfasst.
Die Gruppe DnsAdmins kann an Nicht-AD-Administratoren delegiert werden, z. B. an Diejenigen, die Netzwerkfunktionen wie DNS oder DHCP verwalten, wodurch diese Konten als Ziel für Gefährdungen geeignet sind.
Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Organisation zu verbessern?
Überprüfen Sie die Liste der verfügbar gemachten Entitäten, um nicht privilegierte Konten mit Risikoberechtigungen zu identifizieren.
Ergreifen Sie entsprechende Maßnahmen für diese Konten, indem Sie die Konten aus der Gruppe DnsAdmins entfernen. Wenn einige Konten diese Berechtigungen benötigen, gewähren Sie ihnen nur den erforderlichen spezifischen Zugriff.
Zum Beispiel:
