安全评估:具有非默认主组 ID 的帐户
此建议列出了主组 id (PGID) 属性不是 Active Directory 中域用户和计算机的默认值的所有计算机和用户帐户。
组织风险
用户或计算机帐户的 primaryGroupId 属性授予组的隐式成员身份。 通过此属性的成员身份不会显示在某些接口的组成员列表中。 此属性可以用作隐藏组成员身份的尝试。 对于攻击者来说,这可能是一种秘密方式,无需触发组成员身份更改的正常审核即可升级权限。
修正步骤
查看公开的实体列表,发现哪些帐户具有可疑的 primaryGroupId。
通过将其属性重置为其默认值或将成员添加到相关组,对这些帐户采取适当的操作:
用户帐户:513 (域用户) 或 514 (域来宾) ;
计算机帐户:) 515 (域计算机;
域控制器帐户:516 (域控制器) ;
只读域控制器 (RODC) 帐户:521 (只读域控制器) 。