Trabajo para un gran banco de Europa del Este como programador.
Recientemente, estaba configurando un sitio web de documentación para mi equipo. Se nos ocurrió el nombre del host, y ahora todo lo que necesitábamos era elegir la zona más adecuada y enviar una solicitud al equipo de soporte de TI para crear un nuevo registro DNS.
Entonces, encendí PowerShell y cargué DnsServer module para enumerar las zonas DNS disponibles ( En ese momento no sabía que los usuarios normales, por lo general, no pueden enumerar nada en el servidor DNS de AD . El acceso DEBERÍA ser denegado de manera predeterminada).
El cmdlet Get-DnsServerZone del lista todas las zonas disponibles. He elegido uno y, para asegurarme de que no hubiera nombres de host similares en esta zona, ejecuté El comando Get-DnsServerResourceRecord también. Todo funcionó bien.
Mientras estaba en ello, por curiosidad, decidí explorar los comandos "Agregar- *" también: Add-DnsServerResourceRecordA , Add-DnsServerReAlustreAntasi No esperaba que funcionaran, pero, para mi gran sorpresa, los cmdlets no arrojaron errores: se completaron con éxito.
He verificado los registros creados con Get-DnsServerResourceRecord y nslookup. También ejecutó los mismos comandos utilizando una cuenta de usuario técnico sin privilegios (que pertenece solo a DOMAIN\Users
group y nada más) y obtuvo el mismo resultado: los registros de DNS se agregaron correctamente. Parece que cualquier usuario autenticado puede crear registros DNS. Esto no se siente bien .
La pregunta:
¿Es esta una práctica aceptable o una configuración errónea de seguridad? ¿Debo informarlo?
(No lo he reportado todavía, debido a la gran burocracia involucrada. Además, no quiero llamar la atención innecesaria. Tenemos una cultura bastante poco saludable y una comunicación rota aquí, esto es un banco, después de todo).