보안 평가: 기본값이 아닌 기본 그룹 ID가 있는 계정

이 권장 사항은 Active Directory의 도메인 사용자 및 컴퓨터에 대한 기본값이 아닌 PGID(primaryGroupId) 특성이 있는 모든 컴퓨터 및 사용자 계정을 나열합니다. 

조직 위험

사용자 또는 컴퓨터 계정의 primaryGroupId 특성은 그룹에 암시적 멤버 자격을 부여합니다. 이 특성을 통한 멤버 자격은 일부 인터페이스의 그룹 멤버 목록에 표시되지 않습니다. 이 특성은 그룹 멤버 자격을 숨기려는 시도로 사용될 수 있습니다. 공격자가 그룹 멤버 자격 변경에 대한 정상적인 감사를 트리거하지 않고 권한을 에스컬레이션하는 것은 은밀한 방법일 수 있습니다. 

수정 단계

1. 노출된 엔터티 목록을 검토하여 의심스러운 primaryGroupId가 있는 계정을 검색합니다.  

2. 해당 특성을 기본값으로 다시 설정하거나 관련 그룹에 멤버를 추가하여 해당 계정에 대해 적절한 조치를 취합니다.

• 사용자 계정: 513(도메인 사용자) 또는 514(도메인 게스트);

• 컴퓨터 계정: 515(도메인 컴퓨터);

• 도메인 컨트롤러 계정: 516(도메인 컨트롤러);

• RODC(읽기 전용 도메인 컨트롤러) 계정: 521(읽기 전용 도메인 컨트롤러).

다음 단계

• Microsoft 보안 점수에 대해 자세히 알아보기