DCSync のような攻撃を許してしまうルートオブジェクトのアクセス許可

ルートパーティション (ドメインルート、設定パーティション、スキーマなど) への正しいアクセス許可設定は、Active Directoryのドメイン全体に影響するものです。正しく設定されていない場合、DCSync (とそれに関連する) 攻撃を許してしまい、AD 環境とそのオブジェクトに脅威を招くことになります。さらに、危険なアクセス許可は、攻撃者によって侵害後の永続的メカニズムとして悪用されるおそれがあります。

ドメインルートオブジェクトに適用されているアクセス許可のセキュリティ評価を実施して、安全に削除または変更できるアクセス許可を特定してください。危険なアクセス許可を承認するのは、設定されたアカウントやグループが既にActive Directory環境で特権を持つものと見なされている場合のみとします。

名前: DCSync のような攻撃を許してしまうルートオブジェクトのアクセス許可

コード名: C-ROOTOBJECTS-SD-CONSISTENCY

深刻度: Critical