セキュリティ評価: 管理 SDHolder アクセス許可を持つ不審なアカウントのアクセス権を削除する

この記事では、不審なアカウントに対する危険なアクセス権を強調する、管理 SDHolder アクセス許可セキュリティ評価を使用して、疑わしいアカウントのアクセス権を削除する方法について説明します。

管理 SDHolder アクセス許可が危険になるのはなぜですか?

管理 SDHolder (セキュリティ記述子所有者) のアクセス許可を持つ機密性の高いアカウントを持つことは、次のようなセキュリティに大きな影響を与える可能性があります。

• 不正な特権エスカレーションが発生し、攻撃者はこれらのアカウントを悪用して管理アクセスを取得し、機密性の高いシステムまたはデータを侵害する可能性があります
• 攻撃対象領域を増やすと、セキュリティ インシデントの追跡と軽減が困難になり、organizationがより大きなリスクにさらされる可能性があります。

このセキュリティ評価を使用して、組織のセキュリティ体制を改善操作方法。

1. 管理 SDHolder アクセス許可を持つ不審なアカウントのアクセス権を削除するには、https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認します。

   以下に例を示します。

   

2. 公開されているエンティティの一覧を確認して、機密でないアカウントのうち、管理 SDHolder アクセス許可を持っているアカウントを確認します。

3. 特権アクセス権を削除して、これらのエンティティに対して適切なアクションを実行します。 以下に例を示します。

   1. ADSI 編集ツールを使用して、ドメイン コントローラーに接続します。
   2. CN=System>CN=AdminSDHolder コンテナーを参照し、CN=AdminSDHolder コンテナーのプロパティを開きます。
   3. [セキュリティ] タブ>[Advanced] を選択し、機密でないエンティティを削除します。 これらは、セキュリティ評価で公開済みとしてマークされたエンティティです。

   詳細については、「 Active Directory サービス インターフェイス 」および 「ADSI Edit 」のドキュメントを参照してください。

完全なスコアを達成するには、公開されているすべてのエンティティを修復します。

注:

評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。

次の手順

• Microsoft セキュリティ スコアの詳細
• Defender for Identity フォーラムをご覧ください。