AdminSDHolder

¿Qué es AdminSDHolder?

AdminSDHolder es un objeto de Active Directory que contiene el descriptor de seguridad para objetos que son miembros de grupos privilegiados. El proceso SDProp garantiza que las listas de control de acceso (ACL) de los objetos protegidos sean siempre coherentes con el objeto AdminSDHolder. Un objeto AdminSDHolder comprometido puede conducir a un ataque SDProp.

Modificar el descriptor de seguridad del contenedor AdminSDHolder puede tener serias implicaciones de seguridad, ya que controla cuentas y grupos protegidos. Tales cambios a menudo indican errores de configuración o abuso potencial y deben ser detectados y revertidos inmediatamente para evitar la escalada de privilegios u otros riesgos de seguridad no deseados. Semperis Purple Knight y Directory Services Protector (DSP) permiten la detección (y en el caso de DSP, la reversión) de tales cambios.

¿Cómo puedo proteger AdminSDHolder?

Purple Knight y DSP proporcionan un indicador de seguridad para alertarle de posibles problemas relacionados con AdminSDHolder.

• Indicador de exposición (IOE): Los grupos de operadores ya no están protegidos por AdminSDHolder y SDProp
  • Categoría: Infraestructura AD
  • Marcos de trabajo: MITRE ATT&CK: Defense Evasion, MITRE D3FEND: Harden - Permisos de cuenta de usuario

DSP también le permite configurar reglas de notificación y recibir alertas por correo electrónico cada vez que se produzca un cambio específico en AD. Puede utilizar esta funcionalidad para supervisar los cambios en AdminSDHolder.

Más información sobre AdminSDHolder

Los siguientes recursos proporcionan más información sobre AdminSDHolder, cómo protegerlo y cómo detectar y defenderse de los ataques que lo explotan.

• Cómo deshacer automáticamente cambios peligrosos en Active Directory
• Mejora de la seguridad de Active Directory: AdminSDHolder al rescate
• Auditoría de cambios y reversión de Active Directory