Lavoro per una grande banca dell'Europa orientale come programmatore.
Recentemente, stavo creando un sito web di documentazione per il mio team. Abbiamo trovato il nome host e ora tutto ciò di cui avevamo bisogno era scegliere la zona più adatta e inviare una richiesta al team di supporto IT per creare un nuovo record DNS.
Quindi, ho attivato PowerShell e caricato modulo DnsServer per elencare le zone DNS disponibili ( All'epoca non ero consapevole, che gli utenti ordinari, in genere, non possono enumerare nulla sul server DNS AD . L'accesso DOVREBBE essere negato per impostazione predefinita).
Il cmdlet Get-DnsServerZone ha elencato tutte le zone disponibili. Ne ho scelto uno e per assicurarmi che non ci fossero nomi di host simili in questa zona, ho eseguito Comando Get-DnsServerResourceRecord . Tutto ha funzionato bene.
Mentre ero lì, per curiosità, ho deciso di esplorare anche i comandi "Add- *": Aggiungi-DnsServerResourceRecordA , Aggiungi-DnsServerResourceRecordCName ecc. Non mi aspettavo che funzionassero, ma, con mia grande sorpresa, i cmdlet non hanno generato errori: sono stati completati con successo !!!
Ho verificato i record creati utilizzando Get-DnsServerResourceRecord e nslookup. Ha eseguito anche gli stessi comandi utilizzando l'account utente tecnico non privilegiato (che appartiene solo al gruppo DOMAIN\Users
e nient'altro) e ha ottenuto lo stesso risultato: i record DNS sono stati aggiunti con successo. Sembra che qualsiasi utente autenticato possa creare record DNS. Questo non sembra giusto .
La domanda:
È una pratica accettabile o un errore di configurazione della sicurezza? Devo segnalarlo?
(Non l'ho ancora segnalato, a causa di un sacco di beaurocrazia coinvolti.) Inoltre non voglio attirare l'attenzione non necessaria. Abbiamo una cultura piuttosto malsana e comunicazioni interrotte qui - questa è una banca, dopo tutto).