Valutazione della sicurezza: autorizzazioni non sicure per il gruppo DnsAdmins
Questa raccomandazione elenca qualsiasi membro del gruppo DNS Admins che non è un utente con privilegi. Gli account con privilegi sono account che sono membri di un gruppo con privilegi, ad esempio amministratori di dominio, amministratori dello schema, controller di dominio di sola lettura e così via.
Perché è importante esaminare i membri del gruppo DnsAdmins?
In Active Directory, il gruppo DnsAdmins è un gruppo con privilegi che ha il controllo amministrativo sul servizio server DNS all'interno di un dominio. I membri di questo gruppo hanno la possibilità di gestire i server DNS, tra cui la configurazione delle zone DNS, la gestione dei record e la modifica delle impostazioni DNS.
Il gruppo DnsAdmins può essere delegato agli amministratori non AD, come quelli che gestiscono funzioni di rete come DNS o DHCP, rendendo questi account obiettivi interessanti per la compromissione.
Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza dell'organizzazione?
Esaminare l'elenco delle entità esposte per identificare gli account non con privilegi con autorizzazioni rischiose.
Eseguire le azioni appropriate su tali account rimuovendo gli account dal gruppo DnsAdmins. Se alcuni account richiedono queste autorizzazioni, concedere loro solo l'accesso specifico necessario.
Ad esempio:
