Ocena zabezpieczeń: Niezabezpieczone atrybuty historii identyfikatorów SID

Co to jest niezabezpieczony atrybut historii identyfikatorów SID?

Historia identyfikatorów SID to atrybut, który obsługuje scenariusze migracji. Każde konto użytkownika ma skojarzony identyfikator IDentifier zabezpieczeń (SID), który służy do śledzenia podmiotu zabezpieczeń i dostępu do konta podczas nawiązywania połączenia z zasobami. Historia identyfikatorów SID umożliwia efektywne klonowanie dostępu do innego konta i jest niezwykle przydatna, aby zapewnić użytkownikom zachowanie dostępu po przeniesieniu (zmigrowaniu) z jednej domeny do innej.

Ocena sprawdza konta z atrybutami historii identyfikatorów SID, które Microsoft Defender for Identity profilów jako ryzykowne.

Jakie ryzyko stwarza niezabezpieczony atrybut historii identyfikatorów SID?

Organizacje, które nie zabezpieczają swoich atrybutów konta, pozostawiają drzwi odblokowane dla złośliwych aktorów.

Złośliwi aktorzy, podobnie jak złodzieje, często szukają najprostszego i najcichszego sposobu w dowolnym środowisku. Konta skonfigurowane przy użyciu niezabezpieczonej historii identyfikatorów SID są oknami możliwości dla osób atakujących i mogą narażać ryzyko.

Na przykład niewrażliwe konto w domenie może zawierać identyfikator SID Administracja przedsiębiorstwa w historii identyfikatorów SID z innej domeny w lesie usługi Active Directory, co powoduje "podniesienie" dostępu dla konta użytkownika do efektywnego Administracja domeny we wszystkich domenach w lesie. Ponadto jeśli masz zaufanie lasu bez włączonego filtrowania identyfikatorów SID (nazywanego również kwarantanną), możesz wstrzyknąć identyfikator SID z innego lasu i zostanie on dodany do tokenu użytkownika podczas uwierzytelniania i używania do ocen dostępu.

Jak mogę użyć tej oceny zabezpieczeń?

1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby dowiedzieć się, które konta mają niezabezpieczony atrybut historii identyfikatorów SID.

   

2. Wykonaj odpowiednie akcje, aby usunąć atrybut historii identyfikatorów SID z kont przy użyciu programu PowerShell, wykonując następujące kroki:

   1. Zidentyfikuj identyfikator SID w atrybucie SIDHistory na koncie.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory
      

   2. Usuń atrybut SIDHistory przy użyciu identyfikatora SID zidentyfikowanego wcześniej.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
      

Uwaga

Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Zobacz też

• Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft
• Zapoznaj się z forum Usługi Defender for Identity!