Säkerhetsbedömning: Ta bort icke-administratörskonton med DCSync-behörigheter

Den här artikeln beskriver säkerhetsbedömningen Ta bort icke-administratörskonton med DCSync-behörigheter , som identifierar riskfyllda DCSync-behörighetsinställningar.

Varför kan DCSync-behörigheten vara en risk?

Konton med DCSync-behörighet kan initiera domänreplikering. Angripare kan potentiellt utnyttja domänreplikering för att få obehörig åtkomst, manipulera domändata eller äventyra integriteten och tillgängligheten för din Active Directory-miljö.

Det är viktigt att noggrant hantera och begränsa medlemskapet i den här gruppen för att säkerställa säkerheten och integriteten för din domänreplikeringsprocess.

Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?

1. Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actionsTa bort icke-administratörskonton med DCSync-behörigheter.

   Till exempel:

   

2. Granska den här listan över exponerade entiteter för att identifiera vilka av dina konton som har DCSync-behörigheter och som även är icke-domänadministratörer.

3. Vidta lämpliga åtgärder för dessa entiteter genom att ta bort deras privilegierade åtkomsträttigheter.

Åtgärda alla exponerade entiteter för att uppnå maximal poäng.

Kommentar

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över berörda entiteter uppdateras inom några minuter efter implementeringen av rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.

Rapporterna visar de berörda entiteterna från de senaste 30 dagarna. Efter det tas entiteter som inte längre påverkas bort från listan med exponerade entiteter.

Nästa steg

• Läs mer om Microsoft Secure Score
• Kolla in Defender for Identity-forumet!