如何确保所有 DC 对象和文件的 ACL 只包含合法的管理员?

瑶 景 1,145 信誉分
2024-10-10T02:06:11.8066667+00:00

在 Active Directory 中,GPOs 通过定义系统行为的设置管理 DC 配置。此风险指标确保只有普通管理员才能操纵已链接到 DCs 的 GPOs。为了强化强有力的保护级别,请确保所有 DC 对象和文件的 ACL 只包含合法的管理员。攻击者可利用向其中任一元素所添加的任何其他权限入侵 DCs。

Windows Server
Windows Server
支持企业级管理、数据存储、应用程序和通信的 Microsoft 服务器操作系统系列。
232 个问题
0 个注释 无注释
{count} 票

接受的答案
  1. Yanhong Liu 13,185 信誉分 Microsoft 供应商
    2024-10-10T02:31:33.95+00:00

    您好,

    为了确保所有 DC对象和文件的 ACL只包含合法的管理员,请遵循以下步骤进行操作:

    1. 手动检查权限:

       - 打开“Active Directory 用户和计算机”(ADUC)。

       - 右键点击需要检查的 DC 对象,选择“属性”。

       - 转到“安全”选项卡,检查并确保仅有合法的管理员组(如 Domain Admins、Enterprise Admins)具备适当权限。

       - 移除任何不必要的权限。

    1. 限制 GPO 的权限:

       - 右键点击 GPO,选择“属性”。

       - 转到“安全”选项卡,确保只有合法的管理员组有“编辑”或“全部控制”权限。

       - 为 Domain Admins、Enterprise Admins 分配适当的权限,移除其他组或用户可能具备的过多权限。

    1. 清理并限制管理员组:

       - 确保域管理员组(Domain Admins)、企业管理员组(Enterprise Admins)、和本地管理员组(Administrators)中只包含经过授权的管理员。定期检查这些组的成员,移除不再需要的成员。

    1. 启用和配置“保护对象不被误删”选项:

       - 对重要的 AD 对象,如组织单位(OUs)和关键服务器对象,启用“保护对象不被误删”选项。这样可以防止这些对象被意外删除。

    1. 启用审核策略:

       - 在 GPO 中,导航到“计算机配置” > “Windows 设置” > “安全设置” > “本地策略” > “审核策略”。

       - 启用“审核对象访问”和“审核目录服务访问”。这样可以记录对 AD 对象的访问情况。


    如果答案有帮助,请点击”接受答案“并点赞。


0 个其他答案

排序依据: 非常有帮助

你的答案

问题作者可以将答案标记为“接受的答案”,这有助于用户了解已解决作者问题的答案。