보안 평가: DnsAdmins 그룹에 대한 안전하지 않은 권한
이 권장 사항은 권한 있는 사용자가 아닌 DNS 관리자 그룹의 구성원을 나열합니다. 권한 있는 계정은 도메인 관리자, 스키마 관리자, 읽기 전용 도메인 컨트롤러 등과 같은 권한 있는 그룹의 구성원인 계정입니다.
DnsAdmins 그룹의 멤버를 검토하는 것이 중요한 이유는 무엇인가요?
AD에서 DnsAdmins 그룹은 도메인 내의 DNS 서버 서비스를 관리 제어하는 권한 있는 그룹입니다. 이 그룹의 멤버는 DNS 영역 구성, 레코드 관리 및 DNS 설정 수정과 같은 작업을 포함하는 DNS 서버를 관리할 수 있습니다.
DNS 또는 DHCP와 같은 네트워킹 기능을 관리하는 것과 같이 DnsAdmins 그룹을 비 AD 관리자에게 위임하여 이러한 계정을 손상의 매력적인 대상으로 만들 수 있습니다.
이 보안 평가를 사용하여 조직 보안 상태를 개선할 어떻게 할까요? 있나요?
노출된 엔터티 목록을 검토하여 위험한 권한이 있는 권한이 없는 계정을 식별합니다.
DnsAdmins 그룹에서 계정을 제거하여 해당 계정에 대해 적절한 조치를 취합니다. 일부 계정에 이러한 권한이 필요한 경우 필요한 특정 액세스 권한만 부여합니다.
예시:
