通过

安全评估:删除具有 DCSync 权限的非管理员帐户

  • 项目

本文介绍 使用 DCSync 权限 安全评估删除非管理员帐户,用于标识有风险的 DCSync 权限设置。

为什么 DCSync 权限有风险?

具有 DCSync 权限的帐户可以启动域副本 (replica)。 攻击者可能会利用域副本 (replica)获取未经授权的访问、操作域数据或损害 Active Directory 环境的完整性和可用性。

请务必仔细管理和限制此组的成员身份,以确保域副本 (replica)过程的安全性和完整性。

如何实现使用此安全评估来改善组织安全状况?

  1. 查看有关使用 DCSync 权限删除非管理员帐户的建议操作https://security.microsoft.com/securescore?viewid=actions

    例如:

    Screenshot of the Remove non-admin accounts with DCSync permissions security assessment.

  2. 查看此公开实体列表,发现哪些帐户具有 DCSync 权限,也是非域管理员。

  3. 通过删除这些实体的特权访问权限对这些实体采取适当的操作。

若要达到最大分数,请修正所有公开的实体。

注意

虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响的实体列表在实施建议后的几分钟内更新,但状态可能需要一段时间才能将其标记为 “已完成”。

报告显示过去 30 天内受影响的实体。 之后,不再受影响的实体将从公开的实体列表中删除。

后续步骤