Delen via


Beveiligingsevaluatie: toegangsrechten voor verdachte accounts verwijderen met de machtiging Beheer SDHolder

In dit artikel wordt de beveiligingsbeoordeling Toegangsrechten voor verdachte accounts verwijderen met de Beheer SDHolder-machtigingsbeoordeling beschreven, waarin riskante toegangsrechten voor verdachte accounts worden gemarkeerd.

Waarom kan de Beheer SDHolder-machtiging riskant zijn?

Het hebben van niet-gevoelige accounts met Beheer SDHolder-machtigingen (beveiligingsdescriptorhouder) kan aanzienlijke gevolgen hebben voor de beveiliging, waaronder:

  • Leidt tot escalatie van onbevoegde bevoegdheden, waarbij aanvallers deze accounts kunnen misbruiken om beheerderstoegang te krijgen en gevoelige systemen of gegevens in gevaar te komen
  • Het vergroten van de kwetsbaarheid voor aanvallen, waardoor het moeilijker wordt om beveiligingsincidenten bij te houden en te beperken, waardoor de organisatie mogelijk aan grotere risico's wordt blootgesteld.

Hoe kan ik deze beveiligingsevaluatie gebruiken om de beveiligingsstatus van mijn organisatie te verbeteren?

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actionsvoor Toegangsrechten verwijderen voor verdachte accounts met de Beheer SDHolder-machtiging.

    Bijvoorbeeld:

    Schermopname van de Beheer SDHolder-beveiligingsevaluatie.

  2. Bekijk de lijst met weergegeven entiteiten om te ontdekken welke van uw niet-gevoelige accounts de Beheer SDHolder-machtiging hebben.

  3. Neem de juiste actie op deze entiteiten door hun bevoegde toegangsrechten te verwijderen. Bijvoorbeeld:

    1. Gebruik het hulpprogramma ADSI Bewerken om verbinding te maken met uw domeincontroller.
    2. Blader naar de container CN=System>CN=AdminSDHolder en open de containereigenschappen CN=AdminSDHolder .
    3. Selecteer het tabblad >BeveiligingGeavanceerd en verwijder alle niet-gevoelige entiteiten. Dit zijn de entiteiten die zijn gemarkeerd als beschikbaar in de beveiligingsevaluatie.

    Zie active directory-serviceinterfaces en ADSI-documentatie voor bewerken voor meer informatie

Als u de volledige score wilt behalen, herstelt u alle blootgestelde entiteiten.

Opmerking

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen enkele minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren totdat deze is gemarkeerd als Voltooid.

Volgende stappen