Autorisations à la racine du domaine permettant des attaques comme DCSync
critical
Langue :
Description
Les autorisations à la racine des partitions (racine du domaine, partition de configuration et partition du schéma) doivent être saines, car cela peut avoir un impact direct sur l'intégralité du domaine Active Directory. Des autorisations dangereuses peuvent introduire un risque sur l'environnement AD et ses objets en autorisant les attaques DCSync (et les attaques connexes). Elles peuvent également refléter la présence d'un moyen de persistance, installé précédemment par un attaquant.
Solution
Un audit des autorisations à la racine du domaine devrait être effectué pour identifier les autorisations à supprimer ou modifier en toute sécurité. Le seul cas où une autorisation dangereuse peut être accordée est si le compte ou groupe configuré est déjà considéré comme privilégié dans l'environnement Active Directory.
Voir aussi
Détails de l'indicateur
Nom: Autorisations à la racine du domaine permettant des attaques comme DCSync
Nom de code: C-ROOTOBJECTS-SD-CONSISTENCY
Niveau de gravité: Critical
- Tactiques: TA0003 - Persistance
- Tactiques: TA0006 - Accès aux identifiants
- Techniques: T1003.006 - Extraction des identifiants OS
Outils connus des attaquants
gentilkiwi: Mimikatz DCSync