AdminSDHolder

Che cos'è AdminSDHolder?

AdminSDHolder è un oggetto di Active Directory che contiene il descrittore di sicurezza per gli oggetti che sono membri di gruppi privilegiati. Il processo SDProp assicura che gli elenchi di controllo degli accessi (ACL) degli oggetti protetti siano sempre coerenti con l'oggetto AdminSDHolder. Un oggetto AdminSDHolder compromesso può portare a un attacco SDProp.

La modifica del descrittore di sicurezza del contenitore AdminSDHolder può avere serie implicazioni per la sicurezza, poiché controlla account e gruppi protetti. Tali modifiche spesso indicano configurazioni errate o potenziali abusi e devono essere rilevate e ripristinate immediatamente per evitare l'escalation dei privilegi o altri rischi di sicurezza non voluti. Semperis Purple Knight e Directory Services Protector (DSP) consentono di rilevare (e, nel caso di DSP, di ripristinare) tali modifiche.

Come posso proteggere AdminSDHolder?

Purple Knight e DSP forniscono un indicatore di sicurezza per segnalare potenziali problemi relativi ad AdminSDHolder.

• Indicatore di esposizione (IOE): Gruppi di operatori non più protetti da AdminSDHolder e SDProp
  • Categoria: Infrastruttura AD
  • Quadri: MITRE ATT&CK: Defense Evasion, MITRE D3FEND: Harden - Autorizzazioni dell'account utente

DSP consente anche di impostare regole di notifica e di ricevere avvisi via e-mail ogni volta che si verifica una modifica specifica dell'AD. È possibile utilizzare questa funzionalità per monitorare le modifiche apportate ad AdminSDHolder.

Per saperne di più su AdminSDHolder

Le seguenti risorse forniscono ulteriori informazioni su AdminSDHolder, su come proteggerlo e su come rilevare e difendersi dagli attacchi che lo sfruttano.

• Come annullare automaticamente le modifiche rischiose in Active Directory
• Migliorare la postura di sicurezza di Active Directory: AdminSDHolder in soccorso
• Audit delle modifiche di Active Directory e rollback