特权实体
特权实体是指高价值的Active Directory组和账户,一旦遭到入侵,可能导致对整个域的完全控制。这些实体拥有提升的权限或管理能力,可能对AD环境的安全性产生重大影响。它们通常包括以下对象:
- 对敏感AD对象拥有直接或继承的特权权限。
- 可执行高影响操作,如用户账户管理、权限委派或组策略对象修改。
- 拥有域控制器、关键组织单位或组织资源的管理访问权限。
ADManager Plus默认添加的特权实体
以下内置组默认作为特权实体添加:
- 账户操作员
- 管理员
- 备份操作员
- 证书发布者
- 域管理员
- 企业管理员
- 企业管理员
- 企业密钥管理员
- 密钥管理员
- 打印操作员
- 只读域控制器
- Replicator
- 架构管理员
- 服务器操作员
在ADManager Plus中添加自定义特权实体的步骤
特权实体可通过"身份风险评估"和"风险暴露管理"选项卡进行管理和添加。
- 点击页面右上角的“特权实体” 。
- 点击“添加特权实体”。
- 选择要添加为特权实体的组。
- 点击添加。
- 添加完成后,用户可查看与这些组相关的攻击路径及特权暴露情况。
- 通过“管理”下拉菜单可按需启用、禁用或删除实体。
注意
- 当前ADManager Plus仅支持AD环境,且仅支持将组添加为特权实体。
- 对于新添加的实体,或在启用、禁用或删除实体后,风险相关信息将在下次数据刷新后更新。
