보안 평가: DCSync 권한이 있는 비관리자 계정 제거

  • 아티클

이 문서에서는 위험한 DCSync 권한 설정을 식별하는 DCSync 권한 보안 평가를 사용하여 관리자가 아닌 계정 제거에 대해 설명합니다.

DCSync 권한이 위험할 수 있는 이유는 무엇인가요?

DCSync 권한이 있는 계정은 do기본 복제본(replica)tion을 시작할 수 있습니다. 공격자는 do기본 복제본(replica)tion을 악용하여 무단 액세스를 얻거나, 데이터를 조작하거나기본 Active Directory 환경의 무결성과 가용성을 손상시킬 수 있습니다.

do기본 복제본(replica)tion 프로세스의 보안 및 무결성을 보장하기 위해 이 그룹의 멤버 자격을 신중하게 관리하고 제한하는 것이 중요합니다.

이 보안 평가를 사용하여 조직의 보안 상태를 개선할 어떻게 할까요? 있나요?

  1. DCSync 권한이 있는 https://security.microsoft.com/securescore?viewid=actions 비관리자 계정 제거에 대한 권장 작업을 검토합니다.

    예시:

    Screenshot of the Remove non-admin accounts with DCSync permissions security assessment.

  2. 노출된 엔터티 목록을 검토하여 DCSync 권한이 있고 관리자가 아닌 계정도 검색합니다기본.

  3. 권한 있는 액세스 권한을 제거하여 해당 엔터티에 대해 적절한 조치를 취합니다.

최대 점수를 얻으려면 노출된 모든 엔터티를 수정합니다.

참고 항목

평가는 거의 실시간으로 업데이트되지만 점수 및 상태 24시간마다 업데이트됩니다. 영향을 받는 엔터티 목록은 권장 사항을 구현한 후 몇 분 이내에 업데이트되지만 상태 완료됨으로 표시될 때까지 시간이 걸릴 수 있습니다.

보고서에는 지난 30일 동안의 영향을 받는 엔터티가 표시됩니다. 이 시간 이후에는 더 이상 영향을 받지 않는 엔터티가 노출된 엔터티 목록에서 제거됩니다.

다음 단계