SDProp の一貫性を確保する

Active Directory ドメインを侵害する攻撃者は通常、adminSDHolder オブジェクトの ACL を変更し、攻撃者が ACL に追加するアクセス許可は特権ユーザーにコピーされるため、バックドアが簡単に設置されてしまいます。

この重大レベルの IoE は、adminSDHolder オブジェクトに設定されているアクセス許可が管理者アカウントへの特権アクセスのみを許可していることをチェックします。

SDProp の一貫性を確保する IoE から逸脱オブジェクトを修正するには

1. Tenable Identity Exposure で、ナビゲーションペインの [露出インジケーター] をクリックして開きます。

   デフォルトでは、Tenable Identity Exposureは逸脱オブジェクトを含む IoE だけを表示します。

2. SDProp の一貫性を確保する IoE のタイルをクリックします。

   

   [インジケーターの詳細] ペインが開きます。

3. 逸脱オブジェクトにカーソルを合わせてクリックすると詳細が表示されます。Tenable Identity Exposure がフラグを立てたドメイン名と関連するアクセス許可を書き留めます。(この例では、OLYMPUS.CORP .\unpriv)。

   

4. リモートデスクトップマネージャー (または類似のツール) で、ドメイン名を見つけて、[システム] > [AdminSDHolder] に移動します。

   必要なアクセス許可: この手順を実行するには、ドメインの管理者アカウントが必要です。

5. [AdminSDHolder] を右クリックし、コンテキストメニューから [プロパティ] を選択します。

   

6. [プロパティ] ダイアログ ボックスで、[セキュリティ] タブを選択し、[詳細] をクリックします。

7. [セキュリティの詳細設定] ウィンドウの [アクセス許可] タブで、アクセス許可エントリのリストからアラートが発生したアクセス許可を選択します。

8. [削除] をクリックします。
9. [適用]、[OK] の順にクリックして、設定ウィンドウを閉じます。
10. [OK] をクリックして、[プロパティ] ウィンドウを閉じます。

11. Tenable Identity Exposure で、[インジケーターの詳細] ペインに戻り、ページを更新します。

    逸脱オブジェクトがリストに表示されなくなります。