Dela via


Säkerhetsbedömning: Ta bort åtkomstbehörigheter för misstänkta konton med administratörs-SDHolder-behörigheten

Den här artikeln beskriver säkerhetsbedömningen Ta bort åtkomsträttigheter för misstänkta konton med administratörs-SDHolder-behörighet , som belyser riskfyllda åtkomsträttigheter för misstänkta konton.

Varför kan administratörs-SDHolder-behörigheten vara riskabel?

Att ha icke-känsliga konton med administratörsbehörigheter för SDHolder (säkerhetsbeskrivningsinnehavare) kan få betydande säkerhetskonsekvenser, inklusive:

  • Leder till obehörig behörighetseskalering, där angripare kan utnyttja dessa konton för att få administrativ åtkomst och kompromettera känsliga system eller data
  • Öka attackytan, vilket gör det svårare att spåra och minimera säkerhetsincidenter, vilket kan utsätta organisationen för större risker.

Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra organisationens säkerhetsstatus?

  1. Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actionsTa bort åtkomsträttigheter för misstänkta konton med administratörs-SDHolder-behörigheten.

    Till exempel:

    Screenshot of the Admin SDHolder security assessment.

  2. Granska listan över exponerade entiteter för att identifiera vilka av dina icke-känsliga konton som har administratörs-SDHolder-behörigheten.

  3. Vidta lämpliga åtgärder för dessa entiteter genom att ta bort deras privilegierade åtkomsträttigheter. Till exempel:

    1. Använd ADSI-redigeringsverktyget för att ansluta till domänkontrollanten.
    2. Bläddra till containern CN=System>CN=AdminSDHolder och öppna containeregenskaperna CN=AdminSDHolder.
    3. Välj fliken >Säkerhet Avancerat och ta bort alla icke-känsliga entiteter. Det här är entiteterna som markerats som exponerade i säkerhetsbedömningen.

    Mer information finns i Dokumentation om Active Directory-tjänstgränssnitt och ADSI-redigering

Åtgärda alla exponerade entiteter för att uppnå den fullständiga poängen.

Kommentar

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över berörda entiteter uppdateras inom några minuter efter implementeringen av rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.

Rapporterna visar de berörda entiteterna från de senaste 30 dagarna. Efter det tas entiteter som inte längre påverkas bort från listan med exponerade entiteter.

Nästa steg