Jaa

Suojauksen arviointi: Poista epäilyttävien tilien käyttöoikeudet Hallinta SDHolder-käyttöoikeudella

  • Artikkeli

Tässä artikkelissa kuvataan epäilyttävien tilien käyttöoikeuksien poistaminen Hallinta SDHolder -käyttöoikeussuojauksen arvioinnilla, joka korostaa epäilyttävien tilien riskialttiita käyttöoikeuksia.

Miksi SDHolder Hallinta käyttöoikeus voi olla riskialtis?

Ei-luottamuksellisilla tileillä, joilla on Hallinta SDHolder (suojauskuvaajan omistaja), voi olla merkittäviä vaikutuksia tietoturvaan, kuten:

  • Johtaa luvattomien oikeuksien eskalointiin, jossa hyökkääjät voivat hyödyntää näitä tilejä saadakseen hallinnollisen käyttöoikeuden ja vaarantaakseen arkaluontoisia järjestelmiä tai tietoja.
  • Hyökkäyksen pinnan kasvattaminen, mikä vaikeuttaa tietoturvatapausten seuraamista ja lieventämistä ja saattaa altistaa organisaation suuremmille riskeille.

Ohjevalikko käyttää tätä suojausarviointia organisaation suojausasennon parantamiseen?

  1. Tarkista suositeltu toiminto kohdasta https://security.microsoft.com/securescore?viewid=actionsPoista epäilyttävien tilien käyttöoikeudet Hallinta SDHolder -käyttöoikeudella.

    Esimerkki:

    Näyttökuva Hallinta SDHolder-suojausarvioinnista.

  2. Tarkastele näytettyjen entiteettien luetteloa selvittääksesi, millä ei-arkaluonteisilla tileilläsi on Hallinta SDHolder-käyttöoikeus.

  3. Tee tarvittavat toimet näille entiteeteille poistamalla niiden etuoikeutetut käyttöoikeudet. Esimerkki:

    1. Muodosta yhteys toimialueen ohjauskoneeseen ADSI-muokkaustyökalun avulla.
    2. Siirry kohtaan CN=System>CN=AdminSDHolder ja avaa CN=AdminSDHolder-säilön ominaisuudet.
    3. Valitse Suojaus-välilehti>Lisäasetukset ja poista kaikki ei-luottamukselliset entiteetit. Nämä ovat entiteettejä, jotka on merkitty näytetyiksi suojausarvioinnissa.

    Lisätietoja on artikkelissa Active Directory -palveluliittymät ja ADSI-muokkausohjeet

Jos haluat saavuttaa täyden pistemäärän, korjaa kaikki paljastetut entiteetit.

Huomautus

Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.

Seuraavat vaiheet