Suojauksen arviointi: Muiden kuin järjestelmänvalvojien tilien poistaminen DCSync-käyttöoikeuksilla

Tässä artikkelissa kuvataan Muiden kuin järjestelmänvalvojien tilien poistaminen DCSync-käyttöoikeuksien suojausarvioinnilla , joka tunnistaa riskialttiit DCSync-käyttöoikeusasetukset.

Miksi DCSync-käyttöoikeus voi olla riski?

Tilit, joilla on DCSync-käyttöoikeus, voivat aloittaa toimialueen replikoinnin. Hyökkääjät voivat mahdollisesti hyödyntää toimialueen replikointia luvattoman käytön saamiseksi, toimialuetietojen muokkaamiseksi tai Active Directory -ympäristön eheyden ja käytettävyyden vaarantamiseksi.

On tärkeää hallita ja rajoittaa huolellisesti tämän ryhmän jäsenyyttä toimialueen replikointiprosessin suojauksen ja eheyden varmistamiseksi.

Ohjevalikko käyttää tätä suojausarviointia organisaation suojausasennon parantamiseen?

1. Tarkista suositeltu toiminto kohdasta https://security.microsoft.com/securescore?viewid=actionsPoista muut kuin järjestelmänvalvojatilit DCSync-käyttöoikeuksilla.

   Esimerkki:

   

2. Tarkastele tätä näytettyjen entiteettien luetteloa selvittääksesi, millä tileilläsi on DCSync-käyttöoikeudet ja mitkä ovat myös muita kuin toimialuejärjestelmänvalvojia.

3. Tee tarvittavat toimet näille entiteeteille poistamalla niiden etuoikeutetut käyttöoikeudet.

Jos haluat saavuttaa maksimipistemäärän, korjaa kaikki paljastetut entiteetit.

Huomautus

Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.

Seuraavat vaiheet

• Lue lisätietoja Microsoftin suojauspisteistä
• Tutustu Defender for Identity -keskustelupalstalle!