安全评估：使用 管理员 SDHolder 权限删除对可疑帐户的访问权限

本文介绍使用管理员 SDHolder 权限安全评估删除可疑帐户的访问权限，其中重点介绍了对可疑帐户的风险访问权限。

为什么管理员 SDHolder 权限存在风险？

使用管理员 SDHolder (安全描述符持有者) 权限的非敏感帐户可能会产生重大的安全影响，包括：

• 导致未经授权的特权提升，攻击者可以利用这些帐户获取管理访问权限并入侵敏感系统或数据
• 增加攻击面，使跟踪和缓解安全事件变得更加困难，这可能会使组织面临更大的风险。

如何实现使用此安全评估来改善我的组织安全状况？

1. 查看 处https://security.microsoft.com/securescore?viewid=actions的建议操作，以删除具有 SDHolder 权限的可疑帐户的访问权限管理员。

   例如：

   

2. 查看公开的实体列表，发现哪些非敏感帐户具有管理员 SDHolder 权限。

3. 通过删除这些实体的特权访问权限对这些实体采取适当的操作。 例如：

   1. 使用 ADSI 编辑 工具连接到域控制器。
   2. 浏览到 CN=System>CN=AdminSDHolder 容器，并打开 CN=AdminSDHolder 容器属性。
   3. 选择“安全”选项卡“高级”>，并删除所有非敏感实体。 这些是在安全评估中标记为公开的实体。

   有关详细信息，请参阅 Active Directory 服务接口 和 ADSI 编辑 文档

若要获得完整分数，请修正所有公开的实体。

注意

虽然评估几乎实时更新，但分数和状态每 24 小时更新一次。 虽然受影响实体的列表在实施建议后的几分钟内更新，但状态可能仍需要一段时间才能标记为 “已完成”。

后续步骤

• 详细了解Microsoft安全功能分数
• 查看 Defender for Identity 论坛！