Sikkerhedsvurdering: Usikre attributter for SID-historik

Hvad er en usikker SID-historikattribut?

SID-historik er en attribut, der understøtter overførselsscenarier. Hver brugerkonto har en tilknyttet SID (Security IDentifier), som bruges til at spore sikkerhedskontoen og den adgang, som kontoen har, når der oprettes forbindelse til ressourcer. SID-historikken gør det muligt effektivt at klone adgang for en anden konto og er yderst nyttigt for at sikre, at brugerne bevarer adgangen, når de flyttes (migrerede) fra ét domæne til et andet.

Vurderingen kontrollerer, om der er konti med SID-historikattributter, som Microsoft Defender for Identity profiler, der er risikable.

Hvilken risiko udgør usikker SID-historikattribut?

Organisationer, der ikke kan sikre deres kontoattributter, lader døren være ulåst for ondsindede aktører.

Ondsindede aktører, meget gerne tyve, ofte leder efter den nemmeste og roligste måde ind i et miljø. Konti, der er konfigureret med en usikker SID-historikattribut, er vinduer med muligheder for hackere og kan eksponere risici.

En ikke-følsom konto i et domæne kan f.eks. indeholde Enterprise Administration SID i SID-oversigten fra et andet domæne i Active Directory-området og dermed "hæve" adgangen for brugerkontoen til en effektiv domæne-Administration i alle domæner i området. Hvis du har tillid til et område uden SID-filtrering aktiveret (også kaldet Karantæne), er det også muligt at indsætte et SID fra en anden skov, og det føjes til brugertokenet, når det godkendes og bruges til adgangsevalueringer.

Hvordan gør jeg bruge denne sikkerhedsvurdering?

1. Gennemse den anbefalede handling på https://security.microsoft.com/securescore?viewid=actions for at finde ud af, hvilke af dine konti der har en usikker SID-historikattribut.

   

2. Udfør de nødvendige handlinger for at fjerne attributten SID-oversigt fra kontiene ved hjælp af PowerShell ved hjælp af følgende trin:

   1. Identificer SID'et i attributten SIDHistory på kontoen.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory
      

   2. Fjern attributten SIDHistory ved hjælp af det SID, der blev identificeret tidligere.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
      

Bemærk!

Selvom vurderinger opdateres i næsten realtid, opdateres scorer og statusser hver 24. time. Selvom listen over påvirkede enheder opdateres inden for få minutter efter, at du har implementeret anbefalingerne, kan status stadig tage tid, indtil den er markeret som Fuldført.

Se også

• Få mere at vide om Microsoft Secure Score
• Se Defender for Identity-forummet!