深入解析Active Directory安全:审查外部安全主体(FSPs)

本文详细介绍了Active Directory环境中外部安全主体的安全风险,并提供了一个PowerShell脚本,用于扫描特权组中的FSPs,以帮助企业加强跨域安全控制,防止因一个林被入侵而波及其他林。

Active Directory 安全提示 #13:审查外部安全主体(FSPs)

审查组中来自另一个Active Directory林(技术上来说是另一个域,但此处使用“林”)的账户和组成员身份。这些被称为“外部安全主体”,如图中高亮显示的部分。FSPs是存在于另一个林,但在当前AD林中拥有权限的账户。任何FSPs都应仔细审查,如果不需要则应移除。严格审查和控制这些主体非常重要,因为它们可能拥有高特权。在本例中,另一个AD林(TRDNET)被入侵将导致当前AD林(Trd.com)被入侵。

用于扫描特权组中FSPs的PowerShell脚本: https://github.com/PyroTek3/Misc/blob/main/Invoke-FindPrivilegedFSPs.ps1

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次