Evaluación de seguridad: permisos no seguros en el grupo DnsAdmins
En esta recomendación se muestra cualquier miembro del grupo administradores de DNS que no sea un usuario con privilegios. Las cuentas con privilegios son cuentas que son miembros de un grupo con privilegios, como administradores de dominio, administradores de esquemas, controladores de dominio de solo lectura, etc.
¿Por qué es importante revisar los miembros del grupo DnsAdmins?
En AD, el grupo DnsAdmins es un grupo con privilegios que tiene control administrativo sobre el servicio servidor DNS dentro de un dominio. Los miembros de este grupo tienen la capacidad de administrar servidores DNS, lo que incluye tareas como configurar zonas DNS, administrar registros y modificar la configuración de DNS.
El grupo DnsAdmins se puede delegar a administradores que no son de AD, como las que administran funciones de red como DNS o DHCP, lo que hace que estas cuentas sean destinos atractivos para el riesgo.
Cómo usar esta evaluación de seguridad para mejorar la posición de seguridad de mi organización?
Revise la lista de entidades expuestas para identificar cuentas sin privilegios con permisos de riesgo.
Realice las acciones adecuadas en esas cuentas quitando las cuentas del grupo DnsAdmins. Si algunas cuentas requieren estos permisos, concédales solo el acceso específico necesario.
Por ejemplo:
