深入解析Active Directory外部安全主体(FSPs)安全检测

本文详细介绍了Active Directory中外部安全主体(FSPs)的安全风险,提供了使用PowerShell脚本检测特权组中FSPs的方法,帮助企业加强跨林访问控制,防止因其他AD林受损而导致当前环境被入侵。

Active Directory安全提示第13条:审查外部安全主体(FSPs)

审查组中来自另一个Active Directory林(技术上来说是另一个域,但这里使用林的概念)的账户和组成员资格。这些被称为"外部安全主体"(FSPs),如图中高亮显示的那些。这些FSPs是存在于另一个林中的账户,但在当前AD林中拥有权限。

任何FSPs都应仔细审查,如果不需要则予以移除。严格审查和控制这些主体非常重要,因为它们可能具有高权限。在此示例中,另一个AD林(TRDNET)的受损将导致当前AD林(Trd.com)的受损。

用于扫描特权组中FSPs的PowerShell脚本: https://github.com/PyroTek3/Misc/blob/main/Invoke-FindPrivilegedFSPs.ps1

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次