Stammobjektberechtigungen, die DCSync-artige Angriffe zulassen
critical
Sprache:
Beschreibung
Angemessene Berechtigungen für die Stammpartitionen (z. B. Domänenstamm, Konfigurationspartition und Schema) wirken sich auf die gesamte Active Directory-Domäne aus. Bei inkorrekter Festlegung können sie eine Gefahr für die AD-Umgebung und deren Objekte darstellen. Außerdem können gefährliche Berechtigungen es einem Angreifer ermöglichen, Persistenz nach einem Angriff zu etablieren.
Lösung
Führen Sie eine Sicherheitsbewertung der auf die Domänenstammobjekte angewendeten Berechtigungen durch, um die Berechtigungen zu identifizieren, die bedenkenlos entfernt oder angepasst werden können. Sie sollten gefährliche Berechtigung nur dann autorisieren, wenn das konfigurierte Konto oder die konfigurierte Gruppe von der Active Directory-Umgebung bereits als privilegiert angesehen wird.
Siehe auch
Indikatordetails
Name: Stammobjektberechtigungen, die DCSync-artige Angriffe zulassen
Codename: C-ROOTOBJECTS-SD-CONSISTENCY
Schweregrad: Critical
Taktiken: TA0003 – Persistenz, TA0006 – Zugriff auf Anmeldeinformationen
Techniken: T1003.006 – Dumping von OS-Anmeldeinformationen – DCSync
Bekannte Tools von Angreifern
gentilkiwi: Mimikatz DCSync