Оценка безопасности: атрибуты журнала небезопасных идентификаторов безопасности

Что такое небезопасный атрибут журнала идентификаторов безопасности?

Журнал sid — это атрибут, который поддерживает сценарии миграции. Каждая учетная запись пользователя имеет связанный идентификатор безопасности (SID ), который используется для отслеживания субъекта безопасности и доступа учетной записи при подключении к ресурсам. Журнал идентификаторов безопасности позволяет эффективно клонировать другую учетную запись в другую и очень полезно, чтобы пользователи сохраняли доступ при перемещении (переносе) из одного домена в другой.

Оценка проверяет учетные записи с атрибутами журнала sid, которые Microsoft Defender для удостоверений профили рискованными.

Какой риск представляет атрибут журнала небезопасных идентификаторов безопасности?

Организации, которые не могут защитить свои атрибуты учетной записи, оставляют дверь разблокирована для злоумышленников.

Злонамеренные актеры, как и воры, часто ищут самый простой и тихий путь в любую среду. Учетные записи, настроенные с небезопасным атрибутом sid History, представляют собой окна возможностей для злоумышленников и могут подвергать риску.

Например, не конфиденциальная учетная запись в домене может содержать идентификатор безопасности enterprise Администратор в журнале идентификаторов безопасности другого домена в лесу Active Directory, что позволяет повысить уровень доступа для учетной записи пользователя до действующего Администратор домена во всех доменах в лесу. Кроме того, если у вас есть доверие к лесу без включенной фильтрации SID (также называемой карантином), можно внедрить идентификатор безопасности из другого леса, и он будет добавлен в маркер пользователя при проверке подлинности и используется для оценки доступа.

Разделы справки использовать эту оценку безопасности?

1. Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какие из ваших учетных записей имеют небезопасный атрибут журнала идентификаторов безопасности.

   

2. Выполните соответствующие действия, чтобы удалить атрибут журнала идентификаторов безопасности из учетных записей с помощью PowerShell, выполнив следующие действия:

   1. Определите идентификатор безопасности в атрибуте SIDHistory учетной записи.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory
      

   2. Удалите атрибут SIDHistory с помощью идентификатора безопасности, определенного ранее.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
      

Примечание.

Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.

См. также

• Дополнительные сведения о оценке безопасности (Майкрософт)
• Посетите форум Defender для удостоверений!