確保 SDProp 一致性

入侵 Active Directory 網域的攻擊者通常會變更 adminSDHolder 物件的 ACL,而且他們新增至 ACL 的任何權限都會複製給特權使用者,因此可以輕鬆設定後門程式。

此嚴重曝險指標 (IoE) 會檢查 adminSDHolder 物件上設定的權限是否只允許對管理帳戶進行特權存取。

如要修復確保 SDProp 一致性曝險指標 (IoE) 中的異常物件:

  1. Tenable Identity Exposure 中,按一下導覽窗格中的「曝險指標」以開啟。

    根據預設,Tenable Identity Exposure 僅會顯示包含異常物件的曝險指標 (IoE)。

  2. 按一下確保 SDProp 一致性曝險指標 (IoE) 的圖塊。

    指標詳細資料」窗格會隨即開啟。

  3. 將游標停留在異常物件上並按一下即可顯示詳細資料,記下 Tenable Identity Exposure 標記的網域名稱和相關權限 (在此範例中:OLYMPUS.CORP .\unpriv)。

  4. 在 Remote Desktop Manager (或類似工具) 中,找到網域名稱並導覽至「系統」>「AdminSDHolder」。

    必要權限:您必須擁有網域的管理員帳戶才能執行程序。

  5. 用右鍵按一下「AdminSDHolder」,然後從內容功能表中選取「內容」。

  6. 在「內容」對話方塊中選取「安全性」索引標籤,然後按一下「進階」。

  7. 在「進階安全性設定」視窗和「權限」索引標籤中,從權限項目清單選取引發警示的權限。

  8. 按一下「移除」。
  9. 按一下「套用」和「確定」關閉設定視窗。
  10. 按一下「確定」關閉「內容」視窗。

  1. Tenable Identity Exposure 中,返回「指標詳細資料」窗格並重新整理頁面。

    清單中不會再出現異常物件。