Del via

Sikkerhetsvurdering: Fjern tilgangsrettigheter på mistenkelige kontoer med Admin SDHolder-tillatelse

  • Artikkel

Denne artikkelen beskriver Fjern tilgangsrettigheter på mistenkelige kontoer med Admin SDHolder-tillatelsessikkerhetsvurdering, som fremhever risikable tilgangsrettigheter på mistenkelige kontoer.

Hvorfor kan Admin SDHolder-tillatelsen være risikabel?

Å ha ikke-sensitive kontoer med Admin SDHolder-tillatelser (sikkerhetsbeskrivelsesinnehaver) kan ha betydelige sikkerhetsimplikasjoner, inkludert:

  • Fører til uautorisert eskalering av privilegier, der angripere kan utnytte disse kontoene for å få administrativ tilgang og kompromittere sensitive systemer eller data
  • Øke angrepsoverflaten, noe som gjør det vanskeligere å spore og redusere sikkerhetshendelser, noe som potensielt utsetter organisasjonen for større risiko.

Hvordan bruke denne sikkerhetsvurderingen til å forbedre min organisatoriske sikkerhetsstilling?

  1. Se gjennom den anbefalte handlingen https://security.microsoft.com/securescore?viewid=actions for Fjern tilgangsrettigheter på mistenkelige kontoer med Admin SDHolder-tillatelse.

    Eksempel:

    Skjermbilde av sikkerhetsvurderingen Admin SDHolder.

  2. Se gjennom listen over eksponerte enheter for å finne ut hvilke av de ikke-sensitive kontoene som har Admin SDHolder-tillatelse.

  3. Utfør nødvendige tiltak på disse enhetene ved å fjerne de privilegerte tilgangsrettighetene. Eksempel:

    1. Bruk redigeringsverktøyet adsi til å koble til domenekontrolleren.
    2. Bla til CN=System>CN=AdminSDHolder-beholderen , og åpne beholderegenskapene cn=AdminSDHolder .
    3. Velg Sikkerhet-fanen>Avansert, og fjern alle enheter som ikke er sensitive. Dette er enhetene som er merket som eksponert i sikkerhetsvurderingen.

    Hvis du vil ha mer informasjon, kan du se Active Directory Service Interfaces og ADSI Edit-dokumentasjon

Utbedr alle eksponerte enheter for å oppnå den fullstendige poengsummen.

Obs!

Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.

Neste trinn