Évaluation de la sécurité : Supprimer les comptes non administrateurs avec des autorisations DCSync

Cet article décrit l’évaluation de la sécurité Supprimer les comptes non administrateurs avec les autorisations DCSync , qui identifie les paramètres d’autorisation DCSync à risque.

Pourquoi l’autorisation DCSync peut-elle constituer un risque ?

Les comptes disposant de l’autorisation DCSync peuvent lancer la réplication de domaine. Les attaquants peuvent potentiellement exploiter la réplication de domaine pour obtenir un accès non autorisé, manipuler des données de domaine ou compromettre l’intégrité et la disponibilité de votre environnement Active Directory.

Il est essentiel de gérer et de restreindre soigneusement l’appartenance à ce groupe pour garantir la sécurité et l’intégrité de votre processus de réplication de domaine.

Comment faire utiliser cette évaluation de la sécurité pour améliorer la posture de sécurité de mon organisation ?

1. Passez en revue l’action recommandée dans https://security.microsoft.com/securescore?viewid=actionspour Supprimer les comptes non-administrateurs avec des autorisations DCSync.

   Par exemple :

   

2. Passez en revue cette liste d’entités exposées pour découvrir lequel de vos comptes dispose d’autorisations DCSync et qui sont également des administrateurs non de domaine.

3. Prenez les mesures appropriées sur ces entités en supprimant leurs droits d’accès privilégié.

Pour obtenir le score maximal, corrigez toutes les entités exposées.

Remarque

Bien que les évaluations soient mises à jour en quasi-temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités concernées soit mise à jour quelques minutes après l’implémentation des recommandations, le status peut encore prendre du temps avant d’être marqué comme Terminé.

Étapes suivantes

• En savoir plus sur le niveau de sécurité Microsoft
• Consultez le forum Defender pour Identity !