Sicherheitsbewertung: Unsecure SID History Attributes
Was ist ein unsicheres SID History-Attribut?
DER SID-Verlauf ist ein Attribut, das Migrationsszenarien unterstützt. Jedes Benutzerkonto verfügt über einen zugeordneten Security IDentifier (SID), der zum Nachverfolgen des Sicherheitsprinzipals und des Zugriffs auf das Konto beim Herstellen einer Verbindung mit Ressourcen verwendet wird. Der SID-Verlauf ermöglicht den Zugriff für ein anderes Konto, das effektiv zu einem anderen geklont werden kann, und ist äußerst nützlich, um sicherzustellen, dass Benutzer den Zugriff behalten, wenn sie von einer Aufgabe verschoben (migriert) werden Standard zu einer anderen.
Die Bewertung prüft auf Konten mit SID-Verlaufsattributen, die für Microsoft Defender for Identity-Profile riskant sind.
Welches Risiko stellt das unsichere SID History-Attribut dar?
Organisationen, die ihre Kontoattribute nicht sichern, lassen die Tür für böswillige Akteure entsperrt.
Böswillige Schauspieler, ähnlich wie Diebe, suchen oft nach dem einfachsten und leisesten Weg in jede Umgebung. Konten, die mit einem unsicheren SID History-Attribut konfiguriert sind, sind Fenster mit Möglichkeiten für Angreifer und können Risiken offenlegen.
Beispielsweise kann ein nicht sensibles Konto in einer Do Standard die SID des Unternehmensadministrators in seinem SID-Verlauf aus einer anderen Do Standard in der Active Directory-Gesamtstruktur enthalten, wodurch der Zugriff für das Benutzerkonto auf eine effektive Do Standard Admin in allen Aufgaben Standard in der Gesamtstruktur erhöht wird. Wenn Sie eine Gesamtstrukturvertrauensstellung ohne aktivierte SID-Filterung haben (auch als Quarantäne bezeichnet), können Sie eine SID aus einer anderen Gesamtstruktur einfügen und dem Benutzertoken hinzugefügt werden, wenn sie authentifiziert und für Zugriffsbewertungen verwendet wird.
Gewusst wie diese Sicherheitsbewertung verwenden?
Überprüfen Sie die empfohlene Aktion, https://security.microsoft.com/securescore?viewid=actions um zu ermitteln, welche Ihrer Konten über ein unsicheres SID History-Attribut verfügen.
Ergreifen Sie geeignete Maßnahmen, um das SID-Verlaufs-Attribut mithilfe von PowerShell mithilfe der folgenden Schritte aus den Konten zu entfernen:
Identifizieren Sie die SID im SIDHistory-Attribut für das Konto.
Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistoryEntfernen Sie das SIDHistory-Attribut mithilfe der zuvor identifizierten SID.
Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
Hinweis
Während Bewertungen in nahezu Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, dauert der Status möglicherweise noch Zeit, bis sie als abgeschlossen gekennzeichnet ist.