Was ist AdminSDHolder?
AdminSDHolder ist ein Active Directory-Objekt, das den Sicherheitsdeskriptor für Objekte enthält, die Mitglieder von privilegierten Gruppen sind. Der SDProp-Prozess stellt sicher, dass die Zugriffskontrolllisten (ACLs) geschützter Objekte immer mit dem AdminSDHolder-Objekt übereinstimmen. Ein kompromittiertes AdminSDHolder-Objekt kann zu einem SDProp-Angriff führen.
Die Änderung des Sicherheitsdeskriptors des Containers AdminSDHolder kann schwerwiegende Auswirkungen auf die Sicherheit haben, da er geschützte Konten und Gruppen kontrolliert. Solche Änderungen deuten häufig auf Fehlkonfigurationen oder potenziellen Missbrauch hin und sollten sofort erkannt und rückgängig gemacht werden, um eine Ausweitung der Privilegien oder andere unbeabsichtigte Sicherheitsrisiken zu verhindern. Semperis Purple Knight und Directory Services Protector (DSP) ermöglichen die Erkennung (und im Fall von DSPdie Rückgängigmachung) solcher Änderungen.
Wie kann ich AdminSDHolder schützen?
Purple Knight und DSP bieten einen Sicherheitsindikator, der Sie auf mögliche Probleme im Zusammenhang mit AdminSDHolder hinweist.
- Indikator für die Exposition (IOE): Bedienergruppen nicht mehr durch AdminSDHolder und SDProp geschützt
- Kategorie: AD-Infrastruktur
- Rahmenwerke: MITRE ATT&CK: Defense Evasion, MITRE D3FEND: Harden - Benutzerkonto-Berechtigungen
DSP ermöglicht es Ihnen auch, Benachrichtigungsregeln einzurichten und E-Mail-Benachrichtigungen zu erhalten, wenn eine bestimmte AD-Änderung eintritt. Sie können diese Funktion nutzen, um auf Änderungen an AdminSDHolder zu achten.
Erfahren Sie mehr über AdminSDHolder
In den folgenden Ressourcen finden Sie weitere Informationen über AdminSDHolder, wie Sie ihn schützen und wie Sie Angriffe, die ihn ausnutzen, erkennen und abwehren können.
