Säkerhetsutvärdering: Osäkra behörigheter för DnsAdmins-gruppen
Den här rekommendationen visar alla medlemmar i gruppen DNS-administratörer som inte är en privilegierad användare. Privilegierade konton är konton som är medlemmar i en privilegierad grupp, till exempel domänadministratörer, schemaadministratörer, skrivskyddade domänkontrollanter och så vidare.
Varför är det viktigt att granska medlemmarna i DnsAdmins-gruppen?
I AD är DnsAdmins-gruppen en privilegierad grupp som har administrativ kontroll över DNS-servertjänsten i en domän. Medlemmar i den här gruppen har möjlighet att hantera DNS-servrar, vilket omfattar uppgifter som att konfigurera DNS-zoner, hantera poster och ändra DNS-inställningar.
DnsAdmins-gruppen kan delegeras till icke-AD-administratörer, till exempel de som hanterar nätverksfunktioner som DNS eller DHCP, vilket gör dessa konton attraktiva mål för kompromisser.
Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?
Granska listan över exponerade entiteter för att identifiera icke-privilegierade konton med riskfyllda behörigheter.
Vidta lämpliga åtgärder för dessa konton genom att ta bort kontona från gruppen DnsAdmins. Om vissa konton kräver dessa behörigheter beviljar du dem endast den specifika åtkomst som behövs.
Till exempel:
