Sdílet prostřednictvím

Posouzení zabezpečení: Účty s id jiné než výchozí primární skupiny

  • Článek

Toto doporučení uvádí seznam všech počítačů a uživatelských účtů, jejichž atribut primaryGroupId (PGID) není výchozí pro uživatele domény a počítače ve službě Active Directory. 

Organizační riziko

Atribut primaryGroupId uživatelského účtu nebo účtu počítače uděluje implicitní členství ve skupině. Členství prostřednictvím tohoto atributu se v některých rozhraních nezobrazuje v seznamu členů skupiny. Tento atribut lze použít jako pokus o skrytí členství ve skupině. Může se jednat o neviditelný způsob, jak útočník eskalovat oprávnění, aniž by spustil normální auditování změn členství ve skupině. 

Nápravné kroky

  1. Projděte si seznam vystavených entit a zjistěte, které z vašich účtů mají podezřelou hodnotu primaryGroupId.  

  2. Proveďte u těchto účtů odpovídající akci resetováním jejich atributu na výchozí hodnoty nebo přidáním člena do příslušné skupiny:

  • Uživatelské účty: 513 (Domain Users) nebo 514 (Domain Guests);

  • Účty počítačů: 515 (Počítače domény);

  • Účty řadiče domény: 516 (řadiče domény);

  • Účty řadiče domény jen pro čtení (RODC): 521 (řadiče domény jen pro čtení).

Další kroky