Ocena zabezpieczeń: konta z domyślnym identyfikatorem grupy podstawowej

To zalecenie zawiera listę wszystkich komputerów i kont użytkowników, których atrybut primaryGroupId (PGID) nie jest domyślny dla użytkowników domeny i komputerów w usłudze Active Directory. 

Ryzyko organizacji

Atrybut primaryGroupId konta użytkownika lub komputera przyznaje grupie niejawne członkostwo. Członkostwo za pomocą tego atrybutu nie jest wyświetlane na liście członków grupy w niektórych interfejsach. Ten atrybut może służyć jako próba ukrycia członkostwa w grupie. Może to być niewidoczny sposób eskalacji uprawnień przez osobę atakującą bez wyzwalania normalnej inspekcji zmian członkostwa w grupach. 

Kroki korygowania

1. Przejrzyj listę uwidocznionych jednostek, aby dowiedzieć się, które konta mają podejrzany identyfikator primaryGroupId.  

2. Wykonaj odpowiednie działania na tych kontach, resetując ich atrybut do wartości domyślnych lub dodając element członkowski do odpowiedniej grupy:

• Konta użytkowników: 513 (użytkownicy domeny) lub 514 (goście domeny);

• Konta komputerów: 515 (komputery domeny);

• Konta kontrolera domeny: 516 (kontrolery domeny);

• Konta kontrolera domeny tylko do odczytu (RODC): 521 (kontrolery domeny tylko do odczytu).

Następne kroki

• Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft