Evaluación de seguridad: atributos de historial de SID no seguros
¿Qué es un atributo historial de SID no seguro?
Historial de SID es un atributo que admite escenarios de migración. Cada cuenta de usuario tiene asociado un identificador de seguridad (SID) asociado que se usa para realizar un seguimiento de la entidad de seguridad y el acceso que tiene la cuenta al conectarse a los recursos. El historial de SID permite el acceso a otra cuenta para clonarse eficazmente en otro y es muy útil para garantizar que los usuarios conserven el acceso cuando se muevan (migrados) de un dominio a otro.
La evaluación comprueba si hay cuentas con atributos de historial de SID que los perfiles de Microsoft Defender for Identity son arriesgados.
¿Qué riesgo supone el atributo historial de SID no seguro?
Las organizaciones que no protegen sus atributos de cuenta dejan la puerta desbloqueada para actores malintencionados.
Actores malintencionados, muy parecidos a los ladrones, a menudo buscan la forma más fácil y silenciosa en cualquier entorno. Las cuentas configuradas con un atributo historial de SID no seguro son ventanas de oportunidades para atacantes y pueden exponer riesgos.
Por ejemplo, una cuenta no confidencial de un dominio puede contener el SID de Enterprise Administración en su historial de SID de otro dominio del bosque de Active Directory, lo que "eleva" el acceso de la cuenta de usuario a un dominio efectivo Administración en todos los dominios del bosque. Además, si tiene una confianza de bosque sin filtrado de SID habilitado (también denominado Cuarentena), es posible insertar un SID desde otro bosque y se agregará al token de usuario cuando se autentique y se use para las evaluaciones de acceso.
Cómo usar esta evaluación de seguridad?
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar cuál de las cuentas tiene un atributo historial de SID no seguro.
Realice las acciones adecuadas para quitar el atributo historial de SID de las cuentas mediante PowerShell mediante los pasos siguientes:
Identifique el SID en el atributo SIDHistory de la cuenta.
Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory
Quite el atributo SIDHistory mediante el SID identificado anteriormente.
Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
Nota:
Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza en unos minutos a partir de la implementación de las recomendaciones, el estado puede tardar tiempo hasta que se marque como Completado.