تقييم الأمان: سمات محفوظات SID غير آمنة

ما هي سمة محفوظات SID غير آمنة؟

محفوظات SID هي سمة تدعم سيناريوهات الترحيل. يحتوي كل حساب مستخدم على معرف أمان مقترن (SID) يستخدم لتعقب أساس الأمان والوصول الذي يمتلكه الحساب عند الاتصال بالموارد. يتيح SID History إمكانية الوصول إلى حساب آخر بشكل فعال إلى آخر وهو مفيد للغاية لضمان الاحتفاظ للمستخدمين بالوصول عند نقلهم (ترحيلهم) من مجال إلى آخر.

يتحقق التقييم من الحسابات ذات سمات محفوظات SID التي Microsoft Defender for Identity ملفات التعريف لتكون محفوفة بالمخاطر.

ما المخاطر التي تشكلها سمة محفوظات SID غير آمنة؟

تترك المؤسسات التي تفشل في تأمين سمات حسابها الباب مفتوحا أمام الجهات الفاعلة الضارة.

غالبا ما يبحث المستخدمون الضارون، مثل اللصوص، عن أسهل وأهدأ طريقة في أي بيئة. الحسابات التي تم تكوينها باستخدام سمة محفوظات SID غير آمنة هي نوافذ من الفرص للمهاجمين ويمكن أن تعرض المخاطر.

على سبيل المثال، يمكن أن يحتوي حساب غير حساس في مجال على Enterprise مسؤول SID في محفوظات SID الخاصة به من مجال آخر في غابة Active Directory، وبالتالي "رفع" الوصول لحساب المستخدم إلى مجال فعال مسؤول في جميع المجالات في الغابة. أيضا، إذا كان لديك ثقة غابة دون تمكين تصفية SID (تسمى أيضا العزل)، فمن الممكن إدخال SID من مجموعة تفرعات أخرى وستتم إضافته إلى الرمز المميز للمستخدم عند مصادقته واستخدامه لتقييمات الوصول.

كيف أعمل استخدام تقييم الأمان هذا؟

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لاكتشاف أي من حساباتك يحتوي على سمة محفوظات SID غير آمنة.

    راجع أهم الكيانات المتأثرة وأنشئ خطة عمل.

  2. اتخذ الإجراء المناسب لإزالة سمة محفوظات SID من الحسابات باستخدام PowerShell باستخدام الخطوات التالية:

    1. حدد SID في السمة SIDHistory على الحساب.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory
      
    2. قم بإزالة السمة SIDHistory باستخدام معرف الأمان المحدد سابقا.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
      

ملاحظة

بينما يتم تحديث التقييمات في الوقت الفعلي تقريبا، يتم تحديث الدرجات والحالات كل 24 ساعة. بينما يتم تحديث قائمة الكيانات المتأثرة في غضون بضع دقائق من تنفيذ التوصيات، قد تستغرق الحالة وقتا حتى يتم وضع علامة عليها على أنها مكتملة.

راجع أيضًا