安全性評估:具有非預設主要群組標識符的帳戶
此建議會列出 primaryGroupId (PGID) 屬性不是 Active Directory 中網域使用者和電腦預設值的所有電腦和用戶帳戶。
組織風險
用戶或計算機帳戶的 primaryGroupId 屬性會將隱含成員資格授與群組。 透過這個屬性的成員資格不會出現在某些介面中的群組成員清單中。 此屬性可用來嘗試隱藏群組成員資格。 攻擊者在不觸發群組成員資格變更的正常稽核的情況下提升許可權,可能是一種竊取的方式。
補救步驟
檢閱公開的實體清單,以探索哪些帳戶具有可疑的 primaryGroupId。
將這些帳戶的 屬性重設為預設值,或將成員新增至相關群組,以對這些帳戶採取適當的動作:
用戶帳戶:513 (網域使用者) 或 514 (網域來賓) ;
計算機帳戶:515 (網域計算機) ;
域控制器帳戶:516 (域控制器) ;
RODC) 帳戶 (只讀域控制器:521 (只讀域控制器) 。