Sikkerhetsvurdering: Fjerne kontoer som ikke er administratorer, med DCSync-tillatelser

Denne artikkelen beskriver sikkerhetsvurderingen Fjern ikke-administratorkontoer med DCSync-tillatelser , som identifiserer risikable DCSync-tillatelsesinnstillinger.

Hvorfor kan DCSync-tillatelsen være en risiko?

Kontoer med DCSync-tillatelsen kan starte domenereplikering. Angripere kan potensielt utnytte domenereplikering for å få uautorisert tilgang, manipulere domenedata eller kompromittere integriteten og tilgjengeligheten til Active Directory-miljøet.

Det er viktig å administrere og begrense medlemskapet i denne gruppen nøye for å sikre sikkerheten og integriteten til domenereplikeringsprosessen.

Hvordan bruke denne sikkerhetsvurderingen til å forbedre min organisatoriske sikkerhetsstilling?

1. Se gjennom den anbefalte handlingen https://security.microsoft.com/securescore?viewid=actions for Fjern kontoer som ikke er administrator, med DCSync-tillatelser.

   Eksempel:

   

2. Se gjennom denne listen over eksponerte enheter for å finne ut hvilke av kontoene dine som har DCSync-tillatelser, og er også administratorer som ikke er domeneadministratorer.

3. Utfør nødvendige tiltak på disse enhetene ved å fjerne de privilegerte tilgangsrettighetene.

Utbedr alle eksponerte enheter for å oppnå maksimal poengsum.

Obs!

Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.

Neste trinn

• Mer informasjon om Microsoft Secure Score
• Ta en titt på Defender for Identity-forumet!