確保 SDProp 一致性
critical
語系:
說明
Active Directory 會針對關鍵物件 (例如「網域管理員」) 提供保護,其會定期針對這些物件套用預設存取控制規則。請務必檢查這些預設規則是否一致,因為其會影響到 Active Directory 中最重要物件的安全。
解決方案
adminSDHolder 物件上設定的權限應只允許對系統管理帳戶進行特權存取。
另請參閱
Reducing the Active Directory Attack Surface
Securing Active Directory Administrative Groups and Accounts
指標詳細資料
名稱: 確保 SDProp 一致性
代碼名稱: C-SDPROP-CONSISTENCY
嚴重性: Critical
- 手法: TA0003 - 長期潛伏
- 技術: T1098 - 帳戶操控