セキュリティ評価: DnsAdmins グループに過剰なアクセス許可が設定されている
この推奨事項では、DNS 管理者グループのメンバーのうち、特権ユーザーでないすべてのメンバーの一覧が示されます。 特権アカウントとは、ドメイン管理者、スキーマ管理者、読み取り専用ドメイン コントローラーなどの特権グループのメンバーであるアカウントです。
DnsAdmins グループのメンバーを確認することが重要なのはなぜですか?
Active Directory では、DnsAdmins グループはドメイン内の DNS サーバー サービスに対する管理権限を持つ特権グループです。 このグループのメンバーは DNS サーバーを管理する権限を持ち、DNS ゾーンの構成、レコードの管理、DNS 設定の変更などのタスクを実行できます。
DnsAdmins グループの権限は、DNS や DHCP などのネットワーク機能を管理する AD 管理者以外のアカウントに委任できます。そのため、これらのアカウントは攻撃者にとって格好の標的となります。
このセキュリティ評価を使用して、どのように組織のセキュリティ体制を改善できるのでしょうか。
露出しているエンティティの一覧を確認して、リスクの高い権限を持つ非特権アカウントを特定します。
これらのアカウントを DnsAdmins グループから削除するなど、適切な措置を講じます。 これらの権限がどうしても必要なアカウントがある場合は、必要最小限の特定のアクセス権のみを付与します。
次に例を示します。
