Suojauksen arviointi: Suojaamattomat SID-historiamääritteet

Mikä on suojaamaton SID-historiamäärite?

SID-historia on määrite, joka tukee siirtoskenaarioita. Jokaisella käyttäjätilillä on liitetty Security IDentifier (SID), jonka avulla seurataan suojausobjektia ja tilin käyttöoikeuksia, kun muodostetaan yhteys resursseihin. SID-historiatiedot mahdollistavat toisen tilin tehokkaan kloonauksen toiseen tiliin. On erittäin hyödyllistä varmistaa, että käyttäjät säilyttävät käyttöoikeuden, kun tili siirretään toimialueesta toiseen.

Arviointi tarkistaa tilit, joilla on SID History -määritteitä, jotka Microsoft Defender for Identity profiileja riskialttiiksi.

Mitä riskejä suojaamaton SID-historiamäärite aiheuttaa?

Organisaatiot, jotka eivät pysty turvaamaan tilimääritteitään, jättävät oven lukitsematta haitallisille toimijoille.

Pahantahtoiset näyttelijät, aivan kuten varkaat, etsivät usein helpointa ja hiljaisinta tietä mihin tahansa ympäristöön. Tilit, jotka on määritetty suojaamattomalla SID History -määritteellä, ovat hyökkääjien mahdollisuuksien ikkunoita, ja ne voivat paljastaa riskejä.

Esimerkiksi toimialueen ei-herkkä tili voi sisältää yrityksen Hallinta SID-tunnuksen SID-historiassaan toisesta Active Directory -toimialuepuuryhmästä, mikä nostaa käyttäjätilin käyttöoikeuden käytössä olevaan toimialueen Hallinta toimialuepuuryhmän kaikissa toimialueissa. Jos sinulla on myös metsäluottamus ilman SID-suodatusta (kutsutaan myös karanteeniksi), on mahdollista lisätä SID toisesta puuryhmästä, ja se lisätään käyttäjätunnuksella, kun se todennetaan ja sitä käytetään käyttöoikeuksien arviointeihin.

Ohjevalikko käyttää tätä suojausarviointia?

1. Tutustu suositeltuun toimintoon osoitteessa https://security.microsoft.com/securescore?viewid=actions selvittääksesi, millä tileilläsi on suojaamaton SID-historiamäärite.

   

2. Voit poistaa SID-historiamääritteen tileiltä PowerShellin avulla seuraavasti:

   1. Tunnista SID tilin SIDHistory-määritteessä.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory
      

   2. Poista SIDHistory-määrite käyttämällä aiemmin määritettyä SID-tunnusta.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
      

Huomautus

Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Lue lisätietoja Microsoftin suojauspisteistä
• Tutustu Defender for Identity -keskustelupalstalle!