擬似ドメイン管理者について学び、この種のアイデンティティ関連リスクを軽減する方法を理解しましょう。
疑似ドメイン管理者は、特権のあるActive Directory管理者グループには属していないが、管理者グループのメンバーシップと同等のドメイン管理特権を持つユーザアカウントです。これらのユーザアカウントは、誤って設定されたActive
Directoryアクセス制御リストを介して権限を間接的に取得していました。これらのアカウントが存在すると、環境に潜在的なリスクが生じる可能性があります。
疑似ドメイン管理者のリスクを軽減するために、 トレンドマイクロ は次のことを推奨します。
-
機密性の高い権限を付与する関連グループから、疑似ドメイン管理者を削除します。
-
疑似ドメイン管理者と正規のドメイン管理者の間に複数の関係がある場合は、正規のドメイン管理者に近い関係を削除することから始めます。