보안 평가: 안전하지 않은 SID 기록 특성
안전하지 않은 SID 기록 특성이란?
SID 기록은 마이그레이션 시나리오를 지원하는 특성입니다. 모든 사용자 계정에는 리소스에 연결할 때 계정의 보안 주체 및 액세스 권한을 추적하는 데 사용되는 연결된 SID(보안 IDentifier) 가 있습니다. SID 기록을 사용하면 다른 계정에 대한 액세스를 효과적으로 다른 계정으로 복제할 수 있으며, 사용자가 한 계정에서 다른 계정으로 이동(마이그레이션)할 때 액세스를 유지하는 데 매우 유용합니다기본.
평가는 MICROSOFT Defender for Identity 프로필이 위험할 SID 기록 특성이 있는 계정에 대한 검사.
안전하지 않은 SID 기록 특성은 어떤 위험을 초래하나요?
계정 특성을 보호하지 못하는 조직은 악의적인 행위자를 위해 문을 열어 둡니다.
악의적인 행위자는 도둑과 마찬가지로 어떤 환경에서도 가장 쉽고 조용한 방법을 찾는 경우가 많습니다. 안전하지 않은 SID 기록 특성으로 구성된 계정은 공격자에게 기회의 창이며 위험을 노출할 수 있습니다.
예를 들어 do기본의 중요하지 않은 계정은 Active Directory 포리스트의 다른 do기본 SID 기록에 Enterprise 관리 SID를 포함할 수 있으므로 사용자 계정에 대한 액세스 권한을 포리스트의 모든 do기본 관리로 "상승"기본 할 수 있습니다. 또한 SID 필터링을 사용하도록 설정하지 않은 포리스트 트러스트(격리라고도 함)가 있는 경우 다른 포리스트에서 SID를 삽입할 수 있으며, 인증되고 액세스 평가에 사용될 때 사용자 토큰에 추가됩니다.
이 보안 평가를 사용할 어떻게 할까요? 있나요?
권장되는 작업을 https://security.microsoft.com/securescore?viewid=actions 검토하여 안전하지 않은 SID 기록 특성이 있는 계정을 검색합니다.
다음 단계를 사용하여 PowerShell을 사용하여 계정에서 SID 기록 특성을 제거하려면 적절한 조치를 취합니다.
계정의 SIDHistory 특성에서 SID를 식별합니다.
Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory이전에 식별된 SID를 사용하여 SIDHistory 특성을 제거합니다.
Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
참고 항목
평가는 거의 실시간으로 업데이트되지만 점수 및 상태 24시간마다 업데이트됩니다. 영향을 받는 엔터티 목록은 권장 사항을 구현한 후 몇 분 이내에 업데이트되지만 상태 완료됨으로 표시될 때까지 시간이 걸릴 수 있습니다.