确保 SDProp 一致性

攻击者在破坏 Active Directory 域时,通常会修改 adminSDHolder 对象的 ACL,并且他们添加到 ACL 的任何权限都会被特权用户复制。这样一来,攻击者就很容易设置后门程序。

此严重程度的 IoE 会检查 adminSDHolder 对象上设置的权限是否只允许特权帐户访问管理帐户。

若要修复“确保 SDProp 一致性”IoE 中的异常对象,请执行以下操作:

  1. Tenable Identity Exposure 中,单击导航窗格中的“风险暴露指标”以将其打开。

    默认情况下,Tenable Identity Exposure 仅显示包含异常对象的 IoE。

  2. 单击“确保 SDProp 一致性”IoE 的磁贴。

    指标详细信息”窗格随即打开。

  3. 将鼠标悬停在异常对象上并单击以查看详细信息。记下 Tenable Identity Exposure 标记的域名和相关权限。(在此示例中为 OLYMPUS.CORP .\unpriv

  4. 在远程桌面管理器(或类似工具)中,找到该域名并导航到“系统”>“AdminSDHolder”。

    所需权限:必须拥有域管理员帐户,才能执行该过程。

  5. 右键单击“AdminSDHolder”并从上下文菜单中选择“属性”。

  6. 在“属性”对话框中,选择“安全”选项卡,然后单击“高级”。

  7. 在“高级安全设置”窗口的“权限”选项卡中,从权限条目列表中选择引起警报的权限。

  8. 单击“删除”。
  9. 依次单击“应用”和“确定”,关闭设置窗口。
  10. 单击“确定”,关闭“属性”窗口。

  1. Tenable Identity Exposure 中,返回“指标详细信息”窗格并刷新页面。

    异常对象不再显示在列表中。