DCSync와 유사한 공격을 허용하는 루트 개체 권한

루트 파티션(예: 도메인 루트, 구성 파티션, 스키마)에 할당된 적절한 권한은 전체 Active Directory 도메인에 영향을 미칩니다. 이 권한을 잘못 설정하면 DCSync (및 관련) 공격을 허용하여 AD 환경과 그에 속한 개체에 위협을 초래할 수 있습니다. 또한 위험한 권한은 공격자가 공격 후에 지속성을 유지하는 수단이 될 수도 있습니다.

도메인 루트 개체에 적용된 권한에 대한 보안 평가를 수행하여 안전하게 제거하거나 수정할 수 있는 권한을 찾아야 합니다. Active Directory 환경에서 이미 구성된 계정이나 그룹을 권한이 있는 것으로 간주할 경우에만 위험한 권한을 승인합니다.

이름: DCSync와 유사한 공격을 허용하는 루트 개체 권한

코드명: C-ROOTOBJECTS-SD-CONSISTENCY

심각도: Critical