Valutazione della sicurezza: attributi della cronologia SID non sicuri
Che cos'è un attributo cronologia SID non sicuro?
Cronologia SID è un attributo che supporta gli scenari di migrazione. A ogni account utente è associato un SID (Security IDentifier) usato per tenere traccia dell'entità di sicurezza e dell'accesso dell'account durante la connessione alle risorse. Cronologia SID consente di clonare in modo efficace l'accesso di un altro account a un altro account ed è estremamente utile per garantire che gli utenti mantengano l'accesso quando vengono spostati (migrati) da un dominio a un altro.
La valutazione verifica la presenza di account con attributi di cronologia SID che Microsoft Defender per identità profili a rischio.
Qual è il rischio rappresentato dall'attributo Cronologia SID non sicuro?
Le organizzazioni che non riescono a proteggere gli attributi dell'account lasciano la porta aperta per gli attori malintenzionati.
Gli attori malintenzionati, proprio come i ladri, cercano spesso il modo più semplice e silenzioso in qualsiasi ambiente. Gli account configurati con un attributo cronologia SID non sicuro sono finestre di opportunità per gli utenti malintenzionati e possono esporre rischi.
Ad esempio, un account non sensibile in un dominio può contenere il SID enterprise Amministrazione nella cronologia SID di un altro dominio della foresta di Active Directory, elevando così l'accesso per l'account utente a un Amministrazione di dominio effettivo in tutti i domini della foresta. Inoltre, se si ha un trust tra foreste senza SID Filtering abilitato (detto anche quarantena), è possibile inserire un SID da un'altra foresta e verrà aggiunto al token utente quando viene autenticato e usato per le valutazioni di accesso.
Ricerca per categorie usare questa valutazione della sicurezza?
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per individuare quali account hanno un attributo Cronologia SID non sicuro.
Eseguire le azioni appropriate per rimuovere l'attributo Cronologia SID dagli account usando PowerShell seguendo questa procedura:
Identificare il SID nell'attributo SIDHistory nell'account.
Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistoryRimuovere l'attributo SIDHistory usando il SID identificato in precedenza.
Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Anche se l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.