Avaliação de segurança: Remover contas não administrativas com permissões DCSync

Este artigo descreve a avaliação de segurança Remover contas não administrativas com permissões DCSync , que identifica definições de permissão DCSync arriscadas.

Por que motivo a permissão DCSync pode ser um risco?

As contas com a permissão DCSync podem iniciar a replicação de domínio. Os atacantes podem potencialmente explorar a replicação de domínio para obter acesso não autorizado, manipular dados de domínio ou comprometer a integridade e a disponibilidade do seu ambiente do Active Directory.

É fundamental gerir cuidadosamente e restringir a associação deste grupo para garantir a segurança e integridade do processo de replicação de domínio.

Como devo proceder para utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?

1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actionsRemover contas não administrativas com permissões DCSync.

   Por exemplo:

   

2. Reveja esta lista de entidades expostas para descobrir quais das suas contas têm permissões DCSync e também são administradores de nondomain.

3. Tome as medidas adequadas nessas entidades ao remover os respetivos direitos de acesso privilegiado.

Para obter a classificação máxima, remediar todas as entidades expostas.

Nota

Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, o estado ainda pode demorar algum tempo até estar marcado como Concluído.

Passos seguintes

• Saiba mais sobre a Classificação de Segurança da Microsoft
• Consulte o fórum do Defender para Identidade!