安全评估:不安全的 SID 历史记录属性
什么是不安全的 SID 历史记录属性?
SID 历史记录是支持 迁移方案的属性。 每个用户帐户都有一个关联的 安全 IDentifier (SID) 用于跟踪安全主体和帐户在连接到资源时拥有的访问权限。 SID 历史记录允许将另一个帐户的访问权限有效地克隆到另一个帐户,并且对于确保用户 (从一个域) 迁移到另一个域时保留访问权限非常有用。
评估将检查具有 SID 历史记录属性的帐户,这些属性Microsoft Defender for Identity配置文件存在风险。
不安全的 SID 历史记录属性会带来什么风险?
无法保护其帐户属性的组织会为恶意参与者解锁大门。
恶意行动者,就像小偷一样,经常寻找进入任何环境最简单、最安静的方式。 使用不安全的 SID 历史记录属性配置的帐户是攻击者机会的窗口,可能会暴露风险。
例如,域中的非敏感帐户可以从 Active Directory 林中的另一个域在其 SID 历史记录中包含企业管理员 SID,从而将用户帐户的访问权限“提升”到林中所有域中的有效域管理员。 此外,如果林信任未启用 SID 筛选 (也称为隔离) ,则可以从另一个林中注入 SID,并在进行身份验证时将其添加到用户令牌中,并用于访问评估。
如何实现使用此安全评估?
查看 中的建议操作 https://security.microsoft.com/securescore?viewid=actions ,发现哪些帐户具有不安全的 SID 历史记录属性。
执行相应的操作,通过以下步骤使用 PowerShell 从帐户中删除 SID 历史记录属性:
标识帐户上的 SIDHistory 属性中的 SID。
Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory使用前面标识的 SID 删除 SIDHistory 属性。
Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
注意
虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响实体的列表在实施建议后的几分钟内更新,但状态可能仍需要一段时间才能标记为 “已完成”。