确保 SDProp 一致性
攻击者在破坏 Active Directory 域时,通常会修改 adminSDHolder 对象的 ACL,并且他们添加到 ACL 的任何权限都会被特权用户复制。这样一来,攻击者就很容易设置后门程序。
此严重程度的 IoE 会检查 adminSDHolder 对象上设置的权限是否只允许特权帐户访问管理帐户。
若要修复“确保 SDProp 一致性”IoE 中的异常对象,请执行以下操作:
-
在 Tenable Identity Exposure 中,单击导航窗格中的“风险暴露指标”以将其打开。
默认情况下,Tenable Identity Exposure 仅显示包含异常对象的 IoE。
-
单击“确保 SDProp 一致性”IoE 的磁贴。
“指标详细信息”窗格随即打开。
-
将鼠标悬停在异常对象上并单击以查看详细信息。记下 Tenable Identity Exposure 标记的域名和相关权限。(在此示例中为 OLYMPUS.CORP .\unpriv)
-
在远程桌面管理器(或类似工具)中,找到该域名并导航到“系统”>“AdminSDHolder”。
所需权限:必须拥有域管理员帐户,才能执行该过程。
-
右键单击“AdminSDHolder”并从上下文菜单中选择“属性”。
-
在“属性”对话框中,选择“安全”选项卡,然后单击“高级”。
-
在“高级安全设置”窗口的“权限”选项卡中,从权限条目列表中选择引起警报的权限。
- 单击“删除”。
- 依次单击“应用”和“确定”,关闭设置窗口。
- 单击“确定”,关闭“属性”窗口。
-
在 Tenable Identity Exposure 中,返回“指标详细信息”窗格并刷新页面。
异常对象不再显示在列表中。