Qu'est-ce que AdminSDHolder ?
AdminSDHolder est un objet Active Directory qui contient le descripteur de sécurité pour les objets qui sont membres de groupes privilégiés. Le processus SDProp garantit que les listes de contrôle d'accès (ACL) des objets protégés sont toujours cohérentes avec l'objet AdminSDHolder. Un objet AdminSDHolder compromis peut conduire à une attaque SDProp.
La modification du descripteur de sécurité du conteneur AdminSDHolder peut avoir de graves conséquences sur la sécurité, car il contrôle les comptes et les groupes protégés. De telles modifications sont souvent le signe d'une mauvaise configuration ou d'un abus potentiel et doivent être détectées et annulées immédiatement afin d'éviter une escalade des privilèges ou d'autres risques de sécurité involontaires. Semperis Purple Knight et Directory Services Protector (DSP ) permettent de détecter (et dans le cas de DSP, de revenir en arrière) de tels changements.
Comment puis-je protéger AdminSDHolder ?
Purple Knight et DSP fournissent un indicateur de sécurité pour vous alerter des problèmes potentiels liés à AdminSDHolder.
- Indicateur d'exposition (IOE) : Les groupes d'opérateurs ne sont plus protégés par AdminSDHolder et SDProp
- Catégorie : Infrastructure AD
- Cadres : MITRE ATT&CK : Defense Evasion, MITRE D3FEND : Harden - User Account Permissions
DSP vous permet également de définir des règles de notification et de recevoir des alertes par courrier électronique chaque fois qu'un changement AD spécifique se produit. Vous pouvez utiliser cette fonctionnalité pour surveiller les modifications apportées à AdminSDHolder.
En savoir plus sur AdminSDHolder
Les ressources suivantes fournissent davantage d'informations sur AdminSDHolder, sur la manière de le protéger et sur la manière de détecter les attaques qui l'exploitent et de s'en défendre.
