SDProp-Konsistenz sicherstellen

Angreifer, die eine Active Directory-Domäne kompromittieren, ändern häufig die ACL des adminSDHolder-Objekts. Alle Berechtigungen, die sie der ACL hinzufügen, werden für privilegierte Benutzern kopiert, was die Einrichtung von Backdoors einfach macht.

Dieser IoE mit Schweregrad „Kritisch“ prüft, ob die für das adminSDHolder-Objekt festgelegten Berechtigungen nur privilegierten Zugriff auf Administratorkonten erlauben.

So führen Sie Behebungsmaßnahmen für ein abweichendes Objekt aus dem IoE SDProp-Konsistenz sicherstellen durch:

  1. Klicken Sie in Tenable Identity Exposure im Navigationsbereich auf Indicators of Exposure, um dieses Fenster zu öffnen.

    Standardmäßig zeigt Tenable Identity Exposure nur die IoEs an, die abweichende Objekte enthalten.

  2. Klicken Sie auf die Kachel für den IoE SDProp-Konsistenz sicherstellen.

    Der Fensterbereich Indikatordetails wird geöffnet.

  3. Bewegen Sie den Mauszeiger über das abweichende Objekt und klicken Sie darauf, um seine Details anzuzeigen. Notieren Sie sich den Domänennamen und die zugehörige Berechtigung, die von Tenable Identity Exposure gekennzeichnet wurde. (In diesem Beispiel: OLYMPUS.CORP .\unpriv)

  4. Suchen Sie im Remote Desktop Manager (oder einem ähnlichen Tool) nach dem Domänennamen und navigieren Sie zu System > AdminSDHolder.

    Erforderliche Berechtigung: Sie müssen über ein Administratorkonto in der Domäne verfügen, um das Verfahren durchzuführen.

  5. Klicken Sie mit der rechten Maustaste auf AdminSDHolder und wählen Sie Eigenschaften im Kontextmenü aus.

  6. Wählen Sie im Dialogfeld Eigenschaften die Registerkarte Sicherheit aus und klicken Sie auf Erweitert.

  7. Wählen Sie im Fenster Erweiterte Sicherheitseinstellungen auf der Registerkarte Berechtigungen die Berechtigung, die die Warnung ausgelöst hat, in der Liste der Berechtigungseinträge aus.

  8. Klicken Sie auf Entfernen.
  9. Klicken Sie auf Anwenden und OK, um das Einstellungsfenster zu schließen.
  10. Klicken Sie auf OK, um das Fenster Eigenschaften zu schließen.

  1. Kehren Sie in Tenable Identity Exposure zum Fensterbereich „Indikatordetails“ zurück und aktualisieren Sie die Seite.

    Das abweichende Objekt wird nicht mehr in der Liste angezeigt.