Avaliação de segurança: permissões não seguras no grupo DnsAdmins
Esta recomendação lista qualquer membro do grupo Admins do DNS que não seja um utilizador com privilégios. As contas com privilégios são contas que são membros de um grupo com privilégios, como Administradores de domínio, Administradores de esquemas, Controladores de domínio só de leitura e assim sucessivamente.
Por que motivo é importante rever os membros do grupo DnsAdmins?
No AD, o grupo DnsAdmins é um grupo com privilégios que tem controlo administrativo sobre o serviço de Servidor DNS num domínio. Os membros deste grupo têm a capacidade de gerir servidores DNS, o que inclui tarefas como configurar zonas DNS, gerir registos e modificar as definições de DNS.
O grupo DnsAdmins pode ser delegado a administradores não AD, como aqueles que gerem funções de rede, como DNS ou DHCP, tornando estas contas alvos apelativos para comprometimento.
Como devo proceder para utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?
Reveja a lista de entidades expostas para identificar contas não privilegiadas com permissões de risco.
Tome as medidas adequadas nessas contas ao remover as contas do grupo DnsAdmins. Se algumas contas precisarem destas permissões, conceda-lhes apenas o acesso específico necessário.
Por exemplo:
