Stammobjektberechtigungen, die DCSync-artige Angriffe zulassen

critical

Sprache:

Beschreibung

Angemessene Berechtigungen für die Stammpartitionen (z. B. Domänenstamm, Konfigurationspartition und Schema) wirken sich auf die gesamte Active Directory-Domäne aus. Bei inkorrekter Festlegung können sie eine Gefahr für die AD-Umgebung und deren Objekte darstellen, da sie DCSync- (und verwandte) Angriffe zulassen. Außerdem können gefährliche Berechtigungen es einem Angreifer ermöglichen, Persistenz nach einem Angriff zu etablieren.

Lösung

Führen Sie eine Sicherheitsbewertung der auf die Domänenstammobjekte angewendeten Berechtigungen durch, um die Berechtigungen zu identifizieren, die bedenkenlos entfernt oder angepasst werden können. Sie sollten gefährliche Berechtigung nur dann autorisieren, wenn das konfigurierte Konto oder die konfigurierte Gruppe von der Active Directory-Umgebung bereits als privilegiert angesehen wird.

Siehe auch

Privileged Accounts and Groups in Active Directory

Mimikatz DCSync Usage, Exploitation, and Detection

Indikatordetails

Name: Stammobjektberechtigungen, die DCSync-artige Angriffe zulassen

Codename: C-ROOTOBJECTS-SD-CONSISTENCY

Schweregrad: Critical

MITRE ATT&CK-Informationen:

Taktiken: TA0003 – Persistenz -
Taktiken: TA0006 – Zugriff auf Anmeldeinformationen -
- Techniken: T1003.006 – Dumping von OS-Anmeldeinformationen – DCSync -

Bekannte Tools von Angreifern

gentilkiwi: Mimikatz DCSync