了解pseudo domain admins以及如何減輕此類身份相關風險。
偽域系統管理員是指不屬於特權 Active Directory 管理群組,但擁有與管理群組成員相當的域管理權限的使用者帳號。這些使用者帳號是透過配置錯誤的 Active
Directory 存取控制清單間接獲得這些權限的。這些帳號的存在可能會對您的環境造成潛在風險。
為了減少偽域管理員的風險,趨勢科技 建議:
-
從任何授予敏感權限的相關群組中移除偽域管理員。
-
如果偽域管理員和真正的域管理員之間存在多個關係,請先刪除與真正的域管理員較接近的關係。