¿Configuración incorrecta de la seguridad del servidor DNS de Active Directory o una práctica aceptable?

1

Trabajo para un gran banco de Europa del Este como programador.

Recientemente, estaba configurando un sitio web de documentación para mi equipo. Se nos ocurrió el nombre del host, y ahora todo lo que necesitábamos era elegir la zona más adecuada y enviar una solicitud al equipo de soporte de TI para crear un nuevo registro DNS.

Entonces, encendí PowerShell y cargué DnsServer module para enumerar las zonas DNS disponibles ( En ese momento no sabía que los usuarios normales, por lo general, no pueden enumerar nada en el servidor DNS de AD . El acceso DEBERÍA ser denegado de manera predeterminada).

El cmdlet Get-DnsServerZone del lista todas las zonas disponibles. He elegido uno y, para asegurarme de que no hubiera nombres de host similares en esta zona, ejecuté El comando Get-DnsServerResourceRecord también. Todo funcionó bien.

Mientras estaba en ello, por curiosidad, decidí explorar los comandos "Agregar- *" también: Add-DnsServerResourceRecordA , Add-DnsServerReAlustreAntasi No esperaba que funcionaran, pero, para mi gran sorpresa, los cmdlets no arrojaron errores: se completaron con éxito.

He verificado los registros creados con Get-DnsServerResourceRecord y nslookup. También ejecutó los mismos comandos utilizando una cuenta de usuario técnico sin privilegios (que pertenece solo a DOMAIN\Users group y nada más) y obtuvo el mismo resultado: los registros de DNS se agregaron correctamente. Parece que cualquier usuario autenticado puede crear registros DNS. Esto no se siente bien .

La pregunta:

¿Es esta una práctica aceptable o una configuración errónea de seguridad? ¿Debo informarlo?

(No lo he reportado todavía, debido a la gran burocracia involucrada. Además, no quiero llamar la atención innecesaria. Tenemos una cultura bastante poco saludable y una comunicación rota aquí, esto es un banco, después de todo).

    
pregunta Julak Doom 14.02.2018 - 16:09
fuente

2 respuestas

2

Esto definitivamente debe informarse a su CSO y / o a su equipo.

Además de que puedas agregar registros de DNS, es muy probable que puedas ejecutar otros comandos para manipular la configuración de DNS. Desde mi experiencia, es mejor informar resultados como este rápidamente.

Si los administradores de red a cargo notan las modificaciones que ha realizado, lo más probable es que puedan rastrearlas hasta usted. Si no les ha informado sobre este incidente hasta entonces (o incluso en un período de tiempo que sea aceptablemente pequeño), esto lo pondrá en una situación mucho peor que si informara el problema en primer lugar.

    
respondido por el Tom K. 14.02.2018 - 16:22
fuente
1

Los usuarios autenticados de forma predeterminada tienen el permiso para crear objetos secundarios. Eliminando esto rompe los ddns.

publicación relacionada de Technet

    
respondido por el acleurope 14.02.2018 - 17:12
fuente

Lea otras preguntas en las etiquetas