S'assurer de la cohérence de SDProp

Les attaquants qui compromettent un domaine Active Directory modifient généralement l'ACL de l'objet adminSDHolder. Ensuite, toute autorisation qu'ils ajoutent à l'ACL est copiée vers les utilisateurs privilégiés, ce qui facilite la configuration de portes dérobées.

Cet IoE de niveau critique vérifie que les autorisations définies sur l'objet adminSDHolder autorisent uniquement un accès privilégié aux comptes administratifs.

Pour remédier à un objet déviant de l'IoE S'assurer de la cohérence de SDProp :

Dans Tenable Identity Exposure, cliquez sur Indicateurs d'exposition dans le volet de navigation pour l'ouvrir.

Par défaut, Tenable Identity Exposure affiche uniquement les IoE qui contiennent des objets déviants.
Cliquez sur la tuile de l'IoE S'assurer de la cohérence de SDProp.

Le volet Détails de l'indicateur apparaît.
Survolez l'objet déviant et cliquez dessus pour afficher ses détails. Notez le nom de domaine et l'autorisation associée signalés par Tenable Identity Exposure (dans cet exemple : OLYMPUS.CORP .\unpriv).
Dans le gestionnaire de bureau à distance (ou un outil similaire), localisez le nom de domaine et accédez à Système > AdminSDHolder.

Autorisation requise : vous devez disposer d'un compte administrateur sur le domaine pour effectuer la procédure.
Effectuez un clic droit sur AdminSDHolder et sélectionnez Propriétés dans le menu contextuel.
Dans la boîte de dialogue Propriétés, sélectionnez l'onglet Sécurité et cliquez sur Avancé.
Dans la fenêtre Paramètres de sécurité avancés et dans l'onglet Autorisations, sélectionnez l'autorisation qui a déclenché l'alerte dans la liste des entrées d'autorisations.
Cliquez sur Supprimer.
Cliquez sur Appliquer et sur OK pour refermer la fenêtre des paramètres.
Cliquez sur OK pour refermer la fenêtre Propriétés.

Dans Tenable Identity Exposure, revenez au volet Détails de l'indicateur et actualisez la page.

L'objet déviant n'apparaît plus dans la liste.