Поделиться через

Оценка безопасности: небезопасные разрешения в группе DnsAdmins

  • Статья

В этой рекомендации перечислены все члены группы администраторов DNS, которые не являются привилегированными пользователями. Привилегированные учетные записи — это учетные записи, которые являются членами привилегированной группы, например администраторы домена, администраторы схемы, контроллеры домена только для чтения и т. д. 

Почему важно проверять членов группы DnsAdmins?

В AD группа DnsAdmins — это привилегированная группа, которая имеет административный контроль над службой DNS-сервера в домене. Члены этой группы могут управлять DNS-серверами, включая такие задачи, как настройка зон DNS, управление записями и изменение параметров DNS.
Группу DnsAdmins можно делегировать администраторам, не являющихся администраторами AD, например администраторам, управляющим сетевыми функциями, такими как DNS или DHCP, что делает эти учетные записи привлекательными для компрометации.

Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности организации?

  1. Просмотрите список доступных сущностей, чтобы определить не привилегированные учетные записи с опасными разрешениями.

  2. Выполните соответствующие действия с этими учетными записями, удалив учетные записи из группы DnsAdmins. Если некоторым учетным записям требуются эти разрешения, предоставьте им только определенный необходимый доступ.

Например:
Снимок экрана: непривилегированная учетная запись.

Дальнейшие действия

Дополнительные сведения о оценке безопасности (Майкрософт)