Contrôleurs de domaine gérés par des utilisateurs mal intentionnés

critical

Description

En dépit du volume d'assets présents dans Active Directory, ce sont les contrôleurs de domaine qui restent les éléments les plus sensibles. En effet, ils contiennent l'intégralité des données de ces assets (y compris les secrets d'authentification tels que les mots de passe des utilisateurs).
Seuls des comptes d'administration légitimes devraient être habilités à gérer les contrôleurs de domaine.

Solution

Les contrôleurs de domaine () devraient avoir des droits d'accès stricts. Seuls des comptes utilisateur dotés de droits élevés doivent pouvoir gérer les objets DC ou lier les nouvelles stratégies de groupe.

Voir aussi

Securing Active Directory Administrative Groups and Accounts

Technical description of an nTDSDSA Object

Détails de l'indicateur

Nom: Contrôleurs de domaine gérés par des utilisateurs mal intentionnés

Nom de code: C-DC-ACCESS-CONSISTENCY

Niveau de gravité: Critical

Informations MITRE ATT&CK:

Tactiques: TA0004, TA0003

Techniques: T1078, T1098