Udostępnij za pośrednictwem

Ocena zabezpieczeń: niebezpieczne uprawnienia w grupie DnsAdmins

  • Artykuł

To zalecenie zawiera listę wszystkich członków grupy Administratorzy DNS, który nie jest użytkownikiem uprzywilejowanym. Konta uprzywilejowane to konta będące członkami grupy uprzywilejowanej, takie jak administratorzy domeny, administratorzy schematu, kontrolery domeny tylko do odczytu itd. 

Dlaczego ważne jest, aby przejrzeć członków grupy DnsAdmins?

W usłudze AD grupa DnsAdmins jest grupą uprzywilejowaną, która ma kontrolę administracyjną nad usługą serwera DNS w domenie. Członkowie tej grupy mają możliwość zarządzania serwerami DNS, które obejmują zadania, takie jak konfigurowanie stref DNS, zarządzanie rekordami i modyfikowanie ustawień DNS.
Grupę DnsAdmins można delegować administratorom spoza usługi AD, takim jak osoby zarządzające funkcjami sieciowymi, takimi jak DNS lub DHCP, co sprawia, że te konta są atrakcyjnymi celami dla naruszenia zabezpieczeń.

Jak mogę użyć tej oceny zabezpieczeń, aby poprawić stan zabezpieczeń organizacji?

  1. Przejrzyj listę uwidocznionych jednostek, aby zidentyfikować konta nieuprzywilejowane z ryzykownym uprawnieniem.

  2. Wykonaj odpowiednie działania na tych kontach, usuwając konta z grupy DnsAdmins. Jeśli niektóre konta wymagają tych uprawnień, przyznaj im tylko określony wymagany dostęp.

Przykład:
Zrzut ekranu przedstawiający konto nieuprzywilejowane.

Następne kroki

Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft