了解pseudo limited domain admins以及如何減輕此類身份相關風險。
偽有限域系統管理員是指不屬於某些預設 Active Directory 安全群組的使用者帳號,但具有相當於這些安全群組成員的有限域系統管理權限。這些使用者帳號透過配置錯誤的
Active Directory 存取控制清單間接獲得了這些權限。這些帳號的存在可能會對您的環境帶來潛在風險。
有限的網域管理權限相當於以下預設 Active Directory 安全群組的成員資格:
-
伺服器操作員
-
備份操作員
-
帳戶操作員
-
印表機操作員
-
DNS 管理員
-
群組原則建立者擁有者
-
遠端桌面使用者
為了減少偽有限域管理員的風險,趨勢科技 建議:
-
將偽有限域管理員從授予敏感權限的任何相關群組中移除。
-
如果偽有限域管理員和真正的安全管理員之間存在多重關係,請先刪除與安全管理員較接近的關係。