AdminSDHolder

O que é AdminSDHolder?

AdminSDHolder é um objeto do Active Directory que contém o descritor de segurança para objectos que são membros de grupos privilegiados. O processo SDProp assegura que as listas de controlo de acesso (ACLs) dos objectos protegidos são sempre consistentes com o objeto AdminSDHolder. Um objeto AdminSDHolder comprometido pode levar a um ataque SDProp.

A modificação do descritor de segurança do contentor AdminSDHolder pode ter implicações de segurança graves, uma vez que controla contas e grupos protegidos. Essas alterações geralmente indicam configurações incorretas ou possíveis abusos e devem ser detectadas e revertidas imediatamente para evitar o aumento de privilégios ou outros riscos de segurança não intencionais. Semperis Purple Knight e o Directory Services Protector (DSP) permitem a deteção (e, no caso do DSP, a reversão) de tais alterações.

Como é que posso proteger o AdminSDHolder?

Purple Knight e DSP fornecem um indicador de segurança para o alertar para potenciais problemas relacionados com o AdminSDHolder.

• Indicador de exposição (IOE): Grupos de operadores já não protegidos por AdminSDHolder e SDProp
  • Categoria: Infraestrutura AD
  • Estruturas: MITRE ATT&CK: Evasão de Defesa, MITRE D3FEND: Harden - Permissões de Conta de Utilizador

DSP também lhe permite configurar regras de notificação e receber alertas por correio eletrónico sempre que ocorrer uma alteração específica do AD. Pode utilizar esta funcionalidade para monitorizar as alterações ao AdminSDHolder.

Saiba mais sobre AdminSDHolder

Os seguintes recursos fornecem mais informações sobre o AdminSDHolder, como o proteger e como detetar e defender-se contra ataques que o exploram.

• Como desfazer automaticamente alterações de risco no Active Diretory
• Melhorar a postura de segurança do Active Diretory: AdminSDHolder para o Resgate
• Auditoria e reversão de alterações do Active Directory