Partilhar via

Avaliação de segurança: remover direitos de acesso em contas suspeitas com a permissão SDHolder Administração

  • Artigo

Este artigo descreve a avaliação de segurança de permissões Remover direitos de acesso em contas suspeitas com o Administração SDHolder, que destaca os direitos de acesso de risco em contas suspeitas.

Por que motivo a permissão Administração SDHolder pode ser arriscada?

Ter contas não confidenciais com permissões de SDHolder Administração (titular do descritor de segurança) pode ter implicações de segurança significativas, incluindo:

  • Levando a um escalamento de privilégios não autorizado, em que os atacantes podem explorar estas contas para obter acesso administrativo e comprometer sistemas ou dados confidenciais
  • Aumentar a superfície de ataque, dificultando a monitorização e mitigação de incidentes de segurança, expondo potencialmente a organização a maiores riscos.

Como devo proceder para utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actionsRemover direitos de acesso em contas suspeitas com a permissão SDHolder Administração.

    Por exemplo:

    Captura de ecrã a mostrar a Administração avaliação de segurança do SDHolder.

  2. Reveja a lista de entidades expostas para descobrir quais das suas contas não confidenciais têm a permissão Administração SDHolder.

  3. Tome as medidas adequadas nessas entidades ao remover os respetivos direitos de acesso privilegiado. Por exemplo:

    1. Utilize a ferramenta de Edição ADSI para ligar ao controlador de domínio.
    2. Navegue para o contentor CN=System>CN=AdminSDHolder e abra as propriedades do contentor CN=AdminSDHolder .
    3. Selecione o separador >SegurançaAvançadas e remova quaisquer entidades não confidenciais. Estas são as entidades marcadas como expostas na avaliação de segurança.

    Para obter mais informações, veja Documentação de Edição de ADSI e Interfaces de Serviço do Active Directory

Para obter a classificação completa, remediar todas as entidades expostas.

Nota

Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, o estado ainda pode demorar algum tempo até estar marcado como Concluído.

Passos seguintes