确保 SDProp 一致性

critical

描述

Active Directory 通过定期对关键对象应用默认访问控制规则,为这些对象(如域管理员)提供保护。这些默认规则会影响 Active Directory 中最重要对象的安全性,因此请务必检查它们的一致性。

解决方案

在 adminSDHolder 对象上设置的权限应只允许管理帐户进行特权访问。

另见

Reducing the Active Directory Attack Surface

Securing Active Directory Administrative Groups and Accounts

指标详细信息

名称: 确保 SDProp 一致性

代码名称: C-SDPROP-CONSISTENCY

严重程度: Critical

MITRE ATT&CK 信息:

策略: TA0003

技术: T1098