Sicherheitsbewertung: Konten mit nicht standardmäßiger Primärgruppen-ID
Diese Empfehlung listet alle Computer und Benutzerkonten auf, deren Attribut primaryGroupId (PGID) nicht der Standard für Domänenbenutzer und Computer in Active Directory ist.
Organisationsrisiko
Das Attribut primaryGroupId eines Benutzer- oder Computerkontos gewährt eine implizite Mitgliedschaft in einer Gruppe. Die Zugehörigkeit über dieses Attribut erscheint in einigen Schnittstellen nicht in der Liste der Gruppenmitglieder. Mit diesem Attribut kann versucht werden, die Gruppenzugehörigkeit zu verbergen. Angreifende könnten auf diese Weise heimlich seine Privilegien ausweiten, ohne die normale Überprüfung von Änderungen der Gruppenmitgliedschaft auszulösen.
Schritte zur Bereinigung
Überprüfen Sie die Liste der exponierten Entitäten, um festzustellen, welche Ihrer Konten eine verdächtige primaryGroupId haben.
Ergreifen Sie die entsprechenden Maßnahmen für diese Konten, indem Sie ihre Attribute auf die Standardwerte zurücksetzen oder das Mitglied zu der entsprechenden Gruppe hinzufügen:
Benutzerkonten: 513 (Domänenbenutzer) oder 514 (Domänengäste);
Computerkonten: 515 (Domänencomputer):
Domänencontroller-Konten: 516 (Domänencontroller);
Schreibgeschützte-Domänencontroller (RODC) Konten: 521 (Schreibgeschützte Domänencontroller).