Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Qu’est-ce qu’un attribut d’historique SID non sécurisé ?
L’historique des SID est un attribut qui prend en charge les scénarios de migration. Chaque compte d’utilisateur a un SID (Security IDentifier) associé qui est utilisé pour suivre le principal de sécurité et l’accès dont dispose le compte lors de la connexion aux ressources. L’historique des SID permet de cloner efficacement l’accès d’un autre compte et est extrêmement utile pour garantir que les utilisateurs conservent l’accès lorsqu’ils sont déplacés (migrés) d’un domaine vers un autre.
L’évaluation vérifie les comptes avec des attributs d’historique sid qui Microsoft Defender pour Identity les profils à risque.
Quel risque l’attribut d’historique SID non sécurisé pose-t-il ?
Les organisations qui ne parviennent pas à sécuriser les attributs de leur compte laissent la porte ouverte pour les acteurs malveillants.
Les acteurs malveillants, tout comme les voleurs, cherchent souvent le moyen le plus simple et le plus silencieux dans n’importe quel environnement. Les comptes configurés avec un attribut d’historique SID non sécurisé sont des fenêtres d’opportunités pour les attaquants et peuvent exposer des risques.
Par exemple, un compte non sensible dans un domaine peut contenir le SID Enterprise Administration dans son historique SID à partir d’un autre domaine de la forêt Active Directory, ce qui « élève » l’accès du compte d’utilisateur à un domaine effectif Administration dans tous les domaines de la forêt. En outre, si vous avez une approbation de forêt sans filtrage SID activé (également appelé quarantaine), il est possible d’injecter un SID à partir d’une autre forêt et il sera ajouté au jeton utilisateur lors de l’authentification et de l’utilisation pour les évaluations d’accès.
Comment faire utiliser cette évaluation de sécurité ?
Passez en revue l’action recommandée sur https://security.microsoft.com/securescore?viewid=actions pour découvrir lequel de vos comptes a un attribut d’historique SID non sécurisé.
Effectuez les actions appropriées pour supprimer l’attribut d’historique SID des comptes à l’aide de PowerShell en procédant comme suit :
Identifiez le SID dans l’attribut SIDHistory sur le compte.
Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistorySupprimez l’attribut SIDHistory à l’aide du SID identifié précédemment.
Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
Remarque
Bien que les évaluations soient mises à jour en quasi-temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités concernées soit mise à jour quelques minutes après l’implémentation des recommandations, le status peut encore prendre du temps avant d’être marqué comme Terminé.