Sikkerhetsvurdering: Kontoer med ikke-standard primær gruppe-ID
Denne anbefalingen viser alle datamaskiner og brukerkontoer som har attributtet primaryGroupId (PGID) som ikke er standard for domenebrukere og datamaskiner i Active Directory.
Organisasjonsrisiko
PrimaryGroupId-attributtet for en bruker- eller datamaskinkonto gir implisitt medlemskap til en gruppe. Medlemskap gjennom dette attributtet vises ikke i listen over gruppemedlemmer i enkelte grensesnitt. Dette attributtet kan brukes som et forsøk på å skjule gruppemedlemskap. Det kan være en snikende måte for en angriper å eskalere privilegier uten å utløse normal revisjon for gruppemedlemskapsendringer.
Utbedringstrinn
Se gjennom listen over eksponerte enheter for å finne ut hvilke av kontoene dine som har en mistenkelig primaryGroupId.
Gjør passende tiltak på disse kontoene ved å tilbakestille attributtet til standardverdiene eller legge til medlemmet i den aktuelle gruppen:
Brukerkontoer: 513 (domenebrukere) eller 514 (domenegjester);
Datamaskinkontoer: 515 (Domenedatamaskiner);
Domenekontrollerkontoer: 516 (domenekontrollere);
Skrivebeskyttede domenekontrollerkontoer (RODC): 521 (skrivebeskyttede domenekontrollere).