SDProp の一貫性を確保する

critical

Language:

説明

Active Directory では、デフォルトのアクセス制御ルールをドメイン管理者のような重要なオブジェクトに定期的に適用することによって、そのオブジェクトを保護できます。これらのデフォルトのルールは、Active Directory 内の最も重要なオブジェクトのセキュリティに影響するため、その一貫性について確認することが重要です。

ソリューション

adminSDHolderオブジェクトで設定されたアクセス許可は、管理アカウントにのみ特権アクセスを許可する必要があります。

参考資料

Reducing the Active Directory Attack Surface

Securing Active Directory Administrative Groups and Accounts

インジケーターの詳細

名前: SDProp の一貫性を確保する

コード名: C-SDPROP-CONSISTENCY

深刻度: Critical

MITRE ATT&CK 情報:

戦術: TA0003 - 永続化
- テクニック: T1098 - アカウント操作