Dela via


Säkerhetsbedömning: Osäkra SID-historikattribut

Vad är ett oskyddat SID-historikattribut?

SID-historik är ett attribut som stöder migreringsscenarier. Varje användarkonto har en associerad Säkerhets-IDentifier (SID) som används för att spåra säkerhetsobjektet och den åtkomst som kontot har när du ansluter till resurser. SID-historik ger åtkomst för ett annat konto som effektivt klonas till ett annat och är mycket användbart för att säkerställa att användarna behåller åtkomsten när de flyttas (migreras) från en domän till en annan.

Utvärderingen söker efter konton med SID-historikattribut som Microsoft Defender för identitetsprofiler ska vara riskfyllda.

Vilken risk utgör attribut för oskyddad SID-historik?

Organisationer som inte kan skydda sina kontoattribut lämnar dörren olåst för skadliga aktörer.

Skadliga aktörer, ungefär som tjuvar, letar ofta efter den enklaste och tystaste vägen in i alla miljöer. Konton som konfigurerats med ett oskyddat SID-historikattribut är fönster med möjligheter för angripare och kan exponera risker.

Ett icke-känsligt konto i en domän kan till exempel innehålla företagsadministratörs-SID i sidhistoriken från en annan domän i Active Directory-skogen, vilket "höjer" åtkomsten för användarkontot till en effektiv domänadministratör i alla domäner i skogen. Om du har ett skogsförtroende utan SID-filtrering aktiverat (även kallat Karantän) är det också möjligt att mata in ett SID från en annan skog och det läggs till i användartoken när det autentiseras och används för åtkomstutvärderingar.

Hur gör jag för att använda den här säkerhetsbedömningen?

  1. Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actions att identifiera vilka av dina konton som har ett osäkert SID-historikattribut.

    Review top impacted entities and create an action plan.

  2. Vidta lämpliga åtgärder för att ta bort SID-historikattributet från kontona med hjälp av PowerShell med hjälp av följande steg:

    1. Identifiera SID i SIDHistory-attributet för kontot.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory
      
    2. Ta bort attributet SIDHistory med hjälp av det SID som identifierades tidigare.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
      

Kommentar

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över berörda entiteter uppdateras inom några minuter efter implementeringen av rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.

Se även