Suojauksen arviointi: DnsAdmins-ryhmän turvattomat käyttöoikeudet
Tässä suosituksessa luetellaan dns-järjestelmänvalvojat-ryhmän jäsen, joka ei ole etuoikeutettu käyttäjä. Etuoikeutetut tilit ovat tilejä, jotka kuuluvat etuoikeutettuun ryhmään, kuten toimialueen järjestelmänvalvojat, rakenteen järjestelmänvalvojat, vain luku -toimialueen ohjauskoneet ja niin edelleen.
Miksi dnsAdmins-ryhmän jäsenten tarkistaminen on tärkeää?
AD:ssä DnsAdmins-ryhmä on etuoikeutettu ryhmä, jolla on järjestelmänvalvojan oikeudet toimialueen DNS Server -palveluun. Tämän ryhmän jäsenet voivat hallita DNS-palvelimia, jotka sisältävät esimerkiksi DNS-vyöhykkeiden määrittämistä, tietueiden hallintaa ja DNS-asetusten muokkaamista.
DnsAdmins-ryhmä voidaan delegoida muille kuin AD-järjestelmänvalvojille, kuten niille, jotka hallinnoivat verkkotoimintoja, kuten DNS tai DHCP, mikä tekee näistä tileistä houkuttelevia kohteita kompromisseille.
Ohjevalikko käyttää tätä suojausarviointia organisaation suojausasennon parantamiseen?
Tarkista näytettyjen entiteettien luettelo tunnistaaksesi muut kuin etuoikeutetut tilit, joilla on riskialttiit käyttöoikeudet.
Suorita asianmukaiset toimet näille tileille poistamalla tilit DnsAdmins-ryhmästä. Jos jotkin tilit edellyttävät näitä käyttöoikeuksia, myönnä niille vain tarvittavat käyttöoikeudet.
Esimerkki:
