Configurazione errata della sicurezza del server DNS Active Directory o pratica accettabile?

1

Lavoro per una grande banca dell'Europa orientale come programmatore.

Recentemente, stavo creando un sito web di documentazione per il mio team. Abbiamo trovato il nome host e ora tutto ciò di cui avevamo bisogno era scegliere la zona più adatta e inviare una richiesta al team di supporto IT per creare un nuovo record DNS.

Quindi, ho attivato PowerShell e caricato modulo DnsServer per elencare le zone DNS disponibili ( All'epoca non ero consapevole, che gli utenti ordinari, in genere, non possono enumerare nulla sul server DNS AD . L'accesso DOVREBBE essere negato per impostazione predefinita).

Il cmdlet Get-DnsServerZone ha elencato tutte le zone disponibili. Ne ho scelto uno e per assicurarmi che non ci fossero nomi di host simili in questa zona, ho eseguito Comando Get-DnsServerResourceRecord . Tutto ha funzionato bene.

Mentre ero lì, per curiosità, ho deciso di esplorare anche i comandi "Add- *": Aggiungi-DnsServerResourceRecordA , Aggiungi-DnsServerResourceRecordCName ecc. Non mi aspettavo che funzionassero, ma, con mia grande sorpresa, i cmdlet non hanno generato errori: sono stati completati con successo !!!

Ho verificato i record creati utilizzando Get-DnsServerResourceRecord e nslookup. Ha eseguito anche gli stessi comandi utilizzando l'account utente tecnico non privilegiato (che appartiene solo al gruppo DOMAIN\Users e nient'altro) e ha ottenuto lo stesso risultato: i record DNS sono stati aggiunti con successo. Sembra che qualsiasi utente autenticato possa creare record DNS. Questo non sembra giusto .

La domanda:

È una pratica accettabile o un errore di configurazione della sicurezza? Devo segnalarlo?

(Non l'ho ancora segnalato, a causa di un sacco di beaurocrazia coinvolti.) Inoltre non voglio attirare l'attenzione non necessaria. Abbiamo una cultura piuttosto malsana e comunicazioni interrotte qui - questa è una banca, dopo tutto).

    
posta Julak Doom 14.02.2018 - 16:09
fonte

2 risposte

2

Questo dovrebbe essere sicuramente segnalato al tuo CSO e / o al suo team.

Oltre alla possibilità di aggiungere record DNS, le probabilità sono buone, che puoi anche eseguire altri comandi per manipolare la configurazione DNS. Dalla mia esperienza è meglio riportare risultati come questo velocemente.

Se gli amministratori di rete incaricati notano le modifiche che hai apportato, molto probabilmente saranno in grado di rintracciarli. Se non hai segnalato questo incidente per loro (o anche in un periodo accettabilmente piccolo), questo ti metterà in una luce molto peggiore rispetto a segnalare il problema in primo luogo.

    
risposta data 14.02.2018 - 16:22
fonte
1

Per impostazione predefinita, gli utenti autenticati dispongono dell'autorizzazione Crea oggetto figlio. La rimozione di questa interruzione ddns.

post Technet correlato

    
risposta data 14.02.2018 - 17:12
fonte

Leggi altre domande sui tag