Contrôleurs de domaine gérés par des utilisateurs mal intentionnés
critical
Langue :
Description
En dépit du volume d'assets présents dans Active Directory, ce sont les contrôleurs de domaine qui restent les éléments les plus sensibles. En effet, ils contiennent l'intégralité des données de ces assets (y compris les secrets d'authentification tels que les mots de passe des utilisateurs).
Seuls des comptes d'administration légitimes devraient être habilités à gérer les contrôleurs de domaine.
Solution
Les contrôleurs de domaine () devraient avoir des droits d'accès stricts. Seuls des comptes utilisateur dotés de droits élevés doivent pouvoir gérer les objets DC ou lier les nouvelles stratégies de groupe.
Voir aussi
Securing Active Directory Administrative Groups and Accounts
Détails de l'indicateur
Nom: Contrôleurs de domaine gérés par des utilisateurs mal intentionnés
Nom de code: C-DC-ACCESS-CONSISTENCY
Sévérité: Critical
Type: Active Directory Indicator of Exposure
Family: Contrôle d'accès et autorisations
- Tactique: TA0004 - Privilege Escalation
- Techniques: T1078 - Valid Accounts
- Tactique: TA0003 - Persistence
- Techniques: T1098 - Account Manipulation