Freigeben über

Sicherheitsbewertung: Unsichere SID-Verlaufsattribute

  • Artikel

Was ist ein unsicheres SID-Verlaufsattribut?

DER SID-Verlauf ist ein Attribut, das Migrationsszenarien unterstützt. Jedem Benutzerkonto ist ein Security IDentifier (SID) zugeordnet, der zum Nachverfolgen des Sicherheitsprinzipals und des Zugriffs verwendet wird, den das Konto beim Herstellen einer Verbindung mit Ressourcen hat. Der SID-Verlauf ermöglicht es, den Zugriff für ein anderes Konto effektiv zu klonen, und ist äußerst nützlich, um sicherzustellen, dass Benutzer den Zugriff behalten, wenn sie von einer Domäne in eine andere verschoben (migriert) werden.

Die Bewertung sucht nach Konten mit SID-Verlaufsattributen, die Microsoft Defender for Identity Profile riskant sind.

Welches Risiko stellt ein unsicheres SID-Verlaufsattribut dar?

Organisationen, die ihre Kontoattribute nicht schützen können, lassen die Tür für böswillige Akteure entsperrt.

Böswillige Akteure, ähnlich wie Diebe, suchen oft nach dem einfachsten und leisesten Weg in jede Umgebung. Konten, die mit einem unsicheren SID-Verlaufsattribut konfiguriert sind, sind Fenster mit Chancen für Angreifer und können Risiken offenlegen.

Beispielsweise kann ein nicht sensibles Konto in einer Domäne die Enterprise Admin SID in seinem SID-Verlauf von einer anderen Domäne in der Active Directory-Gesamtstruktur enthalten, wodurch der Zugriff für das Benutzerkonto auf eine effektive Domänen-Admin in allen Domänen in der Gesamtstruktur erhöht wird. Wenn Sie eine Gesamtstruktur-Vertrauensstellung ohne aktivierte SID-Filterung (auch als Quarantäne bezeichnet) haben, ist es auch möglich, eine SID aus einer anderen Gesamtstruktur einzuschleusen, die dem Benutzertoken hinzugefügt wird, wenn es authentifiziert und für Zugriffsauswertungen verwendet wird.

Gewusst wie diese Sicherheitsbewertung verwenden?

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions , um herauszufinden, welches Ihrer Konten über ein unsicheres SID-Verlaufsattribut verfügt.

    Überprüfen Sie die am häufigsten betroffenen Entitäten, und erstellen Sie einen Aktionsplan.

  2. Führen Sie mithilfe der folgenden Schritte geeignete Maßnahmen aus, um das SID-Verlaufsattribut mithilfe von PowerShell aus den Konten zu entfernen:

    1. Identifizieren Sie die SID im SIDHistory-Attribut für das Konto.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory

    2. Entfernen Sie das SIDHistory-Attribut mithilfe der zuvor identifizierten SID.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}

Hinweis

Während Bewertungen nahezu in Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, kann die status noch einige Zeit dauern, bis sie als Abgeschlossen markiert ist.

Siehe auch