Delen via

Beveiligingsevaluatie: Accounts met niet-standaard primaire groeps-id

  • Artikel

In deze aanbeveling worden alle computers en gebruikersaccounts vermeld waarvan het kenmerk primaryGroupId (PGID) niet de standaardwaarde is voor domeingebruikers en computers in Active Directory. 

Organisatierisico

Het kenmerk primaryGroupId van een gebruikers- of computeraccount verleent impliciet lidmaatschap aan een groep. Lidmaatschap via dit kenmerk wordt niet weergegeven in de lijst met groepsleden in sommige interfaces. Dit kenmerk kan worden gebruikt als een poging om groepslidmaatschap te verbergen. Het is mogelijk een verborgen manier voor een aanvaller om bevoegdheden te escaleren zonder normale controle voor wijzigingen in groepslidmaatschap te activeren. 

Herstelstappen

  1. Bekijk de lijst met blootgestelde entiteiten om te ontdekken welke van uw accounts een verdachte primaryGroupId hebben.  

  2. Voer de juiste actie uit voor deze accounts door hun kenmerk opnieuw in te stellen op de standaardwaarden of door het lid toe te voegen aan de relevante groep:

  • Gebruikersaccounts: 513 (domeingebruikers) of 514 (domeingasten);

  • Computeraccounts: 515 (domeincomputers);

  • Domeincontrolleraccounts: 516 (domeincontrollers);

  • Alleen-lezen domeincontrolleraccounts (RODC): 521 (alleen-lezen domeincontrollers).

Volgende stappen