Beveiligingsevaluatie: onveilige machtigingen voor de groep DnsAdmins
In deze aanbeveling worden alle leden van de groep DNS-beheerders vermeld die geen bevoegde gebruiker zijn. Bevoegde accounts zijn accounts die lid zijn van een bevoorrechte groep, zoals domeinbeheerders, schemabeheerders, alleen-lezen domeincontrollers, enzovoort.
Waarom is het belangrijk om de leden van de DnsAdmins-groep te controleren?
In AD is de dnsAdmins-groep een bevoorrechte groep die beheerbeheer heeft over de DNS Server-service binnen een domein. Leden van deze groep hebben de mogelijkheid om DNS-servers te beheren, waaronder taken zoals het configureren van DNS-zones, het beheren van records en het wijzigen van DNS-instellingen.
De DnsAdmins-groep kan worden gedelegeerd aan niet-AD-beheerders, zoals beheerders die netwerkfuncties zoals DNS of DHCP beheren, waardoor deze accounts aantrekkelijke doelen voor inbreuk maken.
Hoe kan ik deze beveiligingsevaluatie gebruiken om de beveiligingsstatus van mijn organisatie te verbeteren?
Bekijk de lijst met weergegeven entiteiten om niet-bevoegde accounts met riskante machtigingen te identificeren.
Onderneem de juiste actie op deze accounts door de accounts te verwijderen uit de groep DnsAdmins. Als voor sommige accounts deze machtigingen zijn vereist, verleent u deze alleen de specifieke toegang die nodig is.
Bijvoorbeeld:
