Sikkerhedsvurdering: Konti med primært gruppe-id, der ikke er standard

Denne anbefaling viser alle computere og brugerkonti, hvis primære PGID-attribut (PrimaryGroupId) ikke er standard for domænebrugere og computere i Active Directory. 

Organisationsrisiko

Attributten primaryGroupId for en bruger- eller computerkonto giver implicit medlemskab til en gruppe. Medlemskab via denne attribut vises ikke på listen over gruppemedlemmer i nogle grænseflader. Denne attribut kan bruges som et forsøg på at skjule gruppemedlemskab. Det kan være en skjult måde for en hacker at eskalere rettigheder uden at udløse normal overvågning for ændringer af gruppemedlemskab. 

Afhjælpningstrin

1. Gennemse listen over viste enheder for at finde ud af, hvilke af dine konti der har et mistænkeligt primærtGroupId.  

2. Udfør de nødvendige handlinger på disse konti ved at nulstille deres attribut til deres standardværdier eller føje medlemmet til den relevante gruppe:

• Brugerkonti: 513 (domænebrugere) eller 514 (domænegæster);

• Computerkonti: 515 (domænecomputere);

• Domænecontrollerkonti: 516 (domænecontrollere);

• Skrivebeskyttede domænecontrollerkonti (RODC): 521 (skrivebeskyttede domænecontrollere).

Næste trin

• Få mere at vide om Microsoft Secure Score