确保 SDProp 一致性

攻击者在破坏 Active Directory 域时，通常会修改 adminSDHolder 对象的 ACL，并且他们添加到 ACL 的任何权限都会被特权用户复制。这样一来，攻击者就很容易设置后门程序。

此严重程度的 IoE 会检查 adminSDHolder 对象上设置的权限是否只允许特权帐户访问管理帐户。

若要修复“确保 SDProp 一致性”IoE 中的异常对象，请执行以下操作：

1. 在 Tenable Identity Exposure 中，单击导航窗格中的“风险暴露指标”以将其打开。

   默认情况下，Tenable Identity Exposure 仅显示包含异常对象的 IoE。

2. 单击“确保 SDProp 一致性”IoE 的磁贴。

   

   “指标详细信息”窗格随即打开。

3. 将鼠标悬停在异常对象上并单击以查看详细信息。记下 Tenable Identity Exposure 标记的域名和相关权限。（在此示例中为 OLYMPUS.CORP .\unpriv）

   

4. 在远程桌面管理器（或类似工具）中，找到该域名并导航到“系统”>“AdminSDHolder”。

   所需权限：必须拥有域管理员帐户，才能执行该过程。

5. 右键单击“AdminSDHolder”并从上下文菜单中选择“属性”。

   

6. 在“属性”对话框中，选择“安全”选项卡，然后单击“高级”。

7. 在“高级安全设置”窗口的“权限”选项卡中，从权限条目列表中选择引起警报的权限。

8. 单击“删除”。
9. 依次单击“应用”和“确定”，关闭设置窗口。
10. 单击“确定”，关闭“属性”窗口。

11. 在 Tenable Identity Exposure 中，返回“指标详细信息”窗格并刷新页面。

    异常对象不再显示在列表中。