Suojauksen arviointi: Tilit, joilla on ei-oletusarvoinen ensisijainen ryhmätunnus
Tässä suosituksessa luetellaan kaikki tietokoneet ja käyttäjätilit, joiden ensisijainenGroupId (PGID) -määrite ei ole Active Directoryn toimialueen käyttäjien ja tietokoneiden oletusasetus.
Organisaation riski
Käyttäjän tai tietokonetilin primaryGroupId-määrite myöntää implisiittisen jäsenyyden ryhmälle. Tämän määritteen jäsenyys ei näy joidenkin liittymien ryhmän jäsenten luettelossa. Tätä määritettä voidaan käyttää yrityksenä piilottaa ryhmän jäsenyys. Se voi olla salamyhkäinen tapa hyökkääjälle kärjistää oikeuksia käynnistämättä normaalia ryhmän jäsenyyden muutosten seurantaa.
Korjausvaiheet
Tarkista näytettyjen entiteettien luettelosta, millä tileilläsi on epäilyttävä primaryGroupId.
Suorita asianmukaiset toimet kyseisille tileille palauttamalla niiden määrite oletusarvoihin tai lisäämällä jäsen kyseiseen ryhmään:
Käyttäjätilit: 513 (toimialueen käyttäjät) tai 514 (toimialueen vieraat);
Tietokonetilit: 515 (toimialuetietokoneet);
Toimialueen ohjauskoneen tilit: 516 (toimialueen ohjauskoneet);
Vain luku -toimialueen ohjauskoneen (RODC) tilit: 521 (vain luku -toimialueen ohjauskoneet).