Asegurar la coherencia de SDProp.

Los atacantes que ponen un dominio de Active Directory en peligro suelen cambiar la ACL del objeto adminSDHolder, y todo permiso que agregan a la ACL se copia en los usuarios privilegiados, lo que facilita la configuración de puertas traseras.

Este IoE de nivel crítico comprueba que los permisos establecidos en el objeto adminSDHolder solo permitan acceso privilegiado a cuentas administrativas.

Para corregir un objeto anómalo del IoE Asegurar la coherencia de SDProp:

1. En Tenable Identity Exposure, haga clic en Indicadores de exposición en el panel de navegación para que se abra.

   De manera predeterminada, Tenable Identity Exposure muestra solo los IoE que contienen objetos anómalos.

2. Haga clic en el mosaico del IoE Asegurar la coherencia de SDProp.

   

   Se abre el panel Detalles del indicador.

3. Pase el cursor por el objeto anómalo y haga clic en él para mostrar los detalles. Anote el nombre del dominio y el permiso asociado que Tenable Identity Exposure marcó. (En este ejemplo: OLYMPUS.CORP\unpriv).

   

4. En el Administrador de Escritorio remoto (o una herramienta similar), busque el nombre del dominio y navegue hasta Sistema > AdminSDHolder.

   Permiso necesario: Para seguir el procedimiento, debe tener una cuenta de administrador en el dominio.

5. Haga clic con el botón derecho en AdminSDHolder y seleccione Propiedades en el menú contextual.

   

6. En el cuadro de diálogo Propiedades, seleccione la pestaña Seguridad y haga clic en Opciones avanzadas.

7. En la ventana Configuración de seguridad avanzada y en la pestaña Permisos, seleccione de la lista de entradas de permisos el que haya generado la alerta.

8. Haga clic en Quitar.
9. Haga clic en Aplicar y en Aceptar para cerrar la ventana de configuración.
10. Haga clic en Aceptar para cerrar la ventana Propiedades.

11. En Tenable Identity Exposure, regrese al panel “Detalles del indicador” y actualice la página.

    El objeto anómalo ya no aparece en la lista.