Del via

Sikkerhetsvurdering: Usikre SID-loggattributter

  • Artikkel

Hva er et usikret SID-loggattributt?

SID-logg er et attributt som støtter overføringsscenarioer. Hver brukerkonto har en tilknyttet Security IDentifier (SID) som brukes til å spore sikkerhetskontohaveren og tilgangen kontoen har når du kobler til ressurser. SID-logg gjør det mulig å klone tilgang for en annen konto effektivt til en annen og er svært nyttig for å sikre at brukerne beholder tilgangen når de flyttes (overføres) fra ett domene til et annet.

Vurderingen ser etter kontoer med SID History-attributter som Microsoft Defender for identitet profiler som er risikable.

Hvilken risiko utgjør usikre SID History-attributt?

Organisasjoner som ikke klarer å sikre kontoattributtene sine, lar døren stå ulåst for ondsinnede aktører.

Ondsinnede skuespillere, mye som tyver, ser ofte etter den enkleste og roligste veien inn i alle miljøer. Kontoer som er konfigurert med et usikret SID History-attributt, er vinduer med muligheter for angripere og kan avsløre risikoer.

En konto som ikke er sensitiv i et domene, kan for eksempel inneholde ENTERPRISE-Admin-SID-en i SID-loggen fra et annet domene i Active Directory-skogen, og dermed «utvide» tilgangen for brukerkontoen til et effektivt domene Admin i alle domener i skogen. Hvis du har en skogklarering uten SID-filtrering aktivert (også kalt karantene), er det også mulig å sette inn en SID fra en annen skog, og den legges til i brukertokenet når det godkjennes og brukes til tilgangsevalueringer.

Hvordan bruke denne sikkerhetsvurderingen?

  1. Se gjennom den anbefalte handlingen for https://security.microsoft.com/securescore?viewid=actions å finne ut hvilke av kontoene dine som har et usikret SID-loggattributt.

    Se gjennom de mest berørte enhetene, og opprett en handlingsplan.

  2. Utfør nødvendige tiltak for å fjerne SID-loggattributtet fra kontoene ved hjelp av PowerShell ved hjelp av følgende fremgangsmåte:

    1. Identifiser SID-en i SIDHistory-attributtet på kontoen.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory

    2. Fjern SIDHistory-attributtet ved hjelp av SID-en som ble identifisert tidligere.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}

Obs!

Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.

Se også