Sprache:
Standardmäßig kann jeder privilegierte oder nicht privilegierte Benutzer einen Computer zur Domäne hinzufügen, wodurch ein neues Computerkonto im Active Directory erstellt wird. Wenn dieser Computer sensible Informationen enthält, kann dies ein Sicherheitsrisiko darstellen, da der Benutzer, der den Computer hinzugefügt hat, möglicherweise weiterhin Berechtigungen für diesen Computer hat, wodurch Backdoors entstehen. Diese Funktion kann auch die Ausnutzung von Schwachstellen vereinfachen (CVE-2021-42278/CVE-2021-42287). Es wird empfohlen, diese Funktion zu deaktivieren und vorhandene Computer zu überprüfen, die über diese Funktion hinzugefügt wurden,
Der Indicator of Attack sAMAccountName-Identitätswechsel kann Angriffe erkennen, stellt aber keinen Ersatz für die Problembehebung dar.
Um die Sicherheit zu gewährleisten, sollte sichergestellt werden, dass nur autorisierte Administratoren Computer zur Active Directory-Domäne hinzufügen können. Außerdem wurden einige vorhandene Computer möglicherweise auf nicht autorisierte Weise zur Domäne hinzugefügt. In solchen Fällen kann es notwendig sein, diese Computer neu zu installieren und die Windows-Stammdatei der Organisation anzuwenden. Obwohl dies ein kostspieliges Unterfangen sein kann, ist es wichtig, die potenziellen Risiken zu bedenken, die von diesen Computern ausgehen. Diese weisen möglicherweise keine angemessenen Maßnahmen zur Verbesserung der Sicherheit auf oder enthalten versteckte Backdoors, die die Domäne anfällig für Angriffe machen könnten.
Who can add workstation to the domain
Standardlimit der Anzahl von Arbeitsstationen, die ein Benutzer der Domäne hinzufügen kann
Name: Benutzer, die der Domäne Computer hinzufügen dürfen
Codename: C-USERS-CAN-JOIN-COMPUTERS
Schweregrad: Medium
Taktiken: TA0002 – Ausführung, TA0042 – Ressourcenentwicklung
Techniken: T1585 – Konten einrichten