根物件權限允許類似 DCSync 的攻擊

critical

說明

將合理權限指派至根分割區 (例如網域根目錄、設定分割區和結構描述) 會對整個 Active Directory 網域造成影響。若設定錯誤,這些權限會使 AD 環境及其物件曝險於威脅當中。不僅如此,攻擊者也可能會利用危險權限,在發動攻擊後持續潛伏。

解決方案

針對套用至網域根物件的權限執行安全性評估,以識別可安全移除或調整的權限。唯一可以授予危險權限的情況為:Active Directory 環境已判定設定的帳戶或群組為特權帳戶或群組。

另請參閱

Privileged Accounts and Groups in Active Directory

Mimikatz DCSync Usage, Exploitation, and Detection

指標詳細資料

名稱: 根物件權限允許類似 DCSync 的攻擊

代碼名稱: C-ROOTOBJECTS-SD-CONSISTENCY

嚴重性: Critical

MITRE 攻擊資訊:

手法: TA0006, TA0003

技術: T1003.006

攻擊者已知工具

gentilkiwi: Mimikatz DCSync