Sikkerhetsvurdering: Usikre tillatelser for DnsAdmins-gruppen
Denne anbefalingen viser et medlem av DNS-administratorgruppen som ikke er en privilegert bruker. Privilegerte kontoer er kontoer som er medlemmer av en privilegert gruppe, for eksempel domeneadministratorer, skjemaadministratorer, skrivebeskyttede domenekontrollere og så videre.
Hvorfor er det viktig å se gjennom medlemmene av DnsAdmins-gruppen?
I AD er DnsAdmins-gruppen en privilegert gruppe som har administrativ kontroll over DNS Server-tjenesten i et domene. Medlemmer av denne gruppen har muligheten til å administrere DNS-servere, som inkluderer oppgaver som konfigurering av DNS-soner, behandling av poster og endring av DNS-innstillinger.
DnsAdmins-gruppen kan delegeres til ikke-AD-administratorer, for eksempel de som administrerer nettverksfunksjoner som DNS eller DHCP, noe som gjør disse kontoene attraktive mål for kompromisser.
Hvordan bruke denne sikkerhetsvurderingen til å forbedre min organisatoriske sikkerhetsstilling?
Se gjennom listen over eksponerte enheter for å identifisere kontoer med ikke-privilegerte kontoer med risikable tillatelser.
Gjør passende tiltak på disse kontoene ved å fjerne kontoene fra DnsAdmins-gruppen. Hvis noen kontoer krever disse tillatelsene, gir du dem bare den bestemte tilgangen som kreves.
Eksempel:
