Ocena zabezpieczeń: usuwanie kont innych niż konta administratorów z uprawnieniami DCSync

W tym artykule opisano ocenę zabezpieczeń Usuwanie kont nieadministracyjnych z uprawnieniami DCSync , która identyfikuje ryzykowne ustawienia uprawnień DCSync.

Dlaczego uprawnienie DCSync może stanowić zagrożenie?

Konta z uprawnieniem DCSync mogą inicjować replikację domeny. Osoby atakujące mogą potencjalnie wykorzystać replikację domeny, aby uzyskać nieautoryzowany dostęp, manipulować danymi domeny lub naruszyć integralność i dostępność środowiska usługi Active Directory.

Ważne jest, aby starannie zarządzać członkostwem w tej grupie i ograniczać je, aby zapewnić bezpieczeństwo i integralność procesu replikacji domeny.

Jak mogę użyć tej oceny zabezpieczeń, aby poprawić stan zabezpieczeń organizacji?

1. Zapoznaj się z zalecaną akcją w temacie Remove non-admin accounts with DCSync permissions (Usuń konta nieadministrowane z uprawnieniami DCSync).https://security.microsoft.com/securescore?viewid=actions

   Przykład:

   

2. Przejrzyj tę listę uwidocznionych jednostek, aby dowiedzieć się, które z Twoich kont mają uprawnienia DCSync, a także nie są administratorami domeny.

3. Podejmij odpowiednie działania względem tych jednostek, usuwając ich uprzywilejowane prawa dostępu.

Aby osiągnąć maksymalny wynik, skoryguj wszystkie ujawnione jednostki.

Uwaga

Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Następne kroki

• Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft
• Zapoznaj się z forum Usługi Defender for Identity!