安全评估:DnsAdmins 组的不安全权限
此建议列出了非特权用户的 DNS 管理员组的任何成员。 特权帐户是作为特权组成员的帐户,例如域管理员、架构管理员、只读域控制器等。
为什么查看 DnsAdmins 组的成员很重要?
在 AD 中,DnsAdmins 组是一个特权组,对域中的 DNS 服务器服务具有管理控制权。 此组的成员能够管理 DNS 服务器,其中包括配置 DNS 区域、管理记录和修改 DNS 设置等任务。
可以将 DnsAdmins 组委托给非 AD 管理员,例如管理网络功能(如 DNS 或 DHCP)的管理员,使这些帐户成为攻击目标。
如何实现使用此安全评估来改善我的组织安全状况?
查看公开的实体列表,以识别具有风险权限的非特权帐户。
通过从 DnsAdmins 组中删除这些帐户,对这些帐户采取适当的操作。 如果某些帐户需要这些权限,请仅向其授予所需的特定访问权限。
例如:
