Active Directory安全技巧:深入解析外部安全主体(FSPs)

本文详细介绍了Active Directory中的外部安全主体(FSPs)安全风险,提供了使用PowerShell脚本扫描特权组中FSPs的方法,帮助管理员识别和移除不必要的跨林权限,防止安全威胁蔓延。

审查外部安全主体(FSPs)

检查组中来自另一个Active Directory林(技术上来说是另一个域,但这里使用林的概念)的账户和组成员身份。这些被称为"外部安全主体"(FSPs),如图中高亮显示的那些。这些FSPs是存在于另一个林中的账户,但在当前AD林中拥有权限。

任何FSPs都应仔细审查,如果不需要则应移除。由于这些账户可能具有高权限,审查和严格控制它们非常重要。在此示例中,另一个AD林(TRDNET)的受损将导致当前AD林(Trd.com)的受损。

PowerShell脚本扫描特权组中的FSPs

用于扫描特权组中FSPs的PowerShell脚本: https://github.com/PyroTek3/Misc/blob/main/Invoke-FindPrivilegedFSPs.ps1

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次