安全评估：删除具有 DCSync 权限的非管理员帐户

本文介绍 使用 DCSync 权限删除非管理员帐户 安全评估，该评估标识有风险的 DCSync 权限设置。

为什么 DCSync 权限存在风险？

具有 DCSync 权限的帐户可以启动域复制。 攻击者可能会利用域复制获取未经授权的访问、操纵域数据或损害 Active Directory 环境的完整性和可用性。

请务必仔细管理和限制此组的成员身份，以确保域复制过程的安全性和完整性。

如何实现使用此安全评估来改善我的组织安全状况？

1. 查看 针对https://security.microsoft.com/securescore?viewid=actions删除具有 DCSync 权限的非管理员帐户的建议操作。

   例如：

   

2. 查看此公开实体列表，了解哪些帐户具有 DCSync 权限，并且也是非域管理员。

3. 通过删除这些实体的特权访问权限对这些实体采取适当的操作。

若要获得最大分数，请修正所有公开的实体。

注意

虽然评估几乎实时更新，但分数和状态每 24 小时更新一次。 虽然受影响实体的列表在实施建议后的几分钟内更新，但状态可能仍需要一段时间才能标记为 “已完成”。

后续步骤

• 详细了解Microsoft安全功能分数
• 查看 Defender for Identity 论坛！