Уязвимость операционных систем Windows Server связана с ошибками при настройке подписи LDAP в домене. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии
BDU:2022-02731
Компенсирующие меры:
- активация настройки объекта групповой политики «Контроллер домена: требования к подписи сервера LDAP»;
- установка для атрибута MS-DS-Machine-Account-Quota в AD значения 0 с целью усложнения реализации атаки, лишая любого пользователя возможности добавлять новую учетную запись компьютера в домен;
- установка флага «Учетная запись является конфиденциальной и не может быть делегирована» для всех учетных записей администраторов.
BDU:2022-02731
Компенсирующие меры:
- активация настройки объекта групповой политики «Контроллер домена: требования к подписи сервера LDAP»;
- установка для атрибута MS-DS-Machine-Account-Quota в AD значения 0 с целью усложнения реализации атаки, лишая любого пользователя возможности добавлять новую учетную запись компьютера в домен;
- установка флага «Учетная запись является конфиденциальной и не может быть делегирована» для всех учетных записей администраторов.