Avaliação de segurança: atributos não seguros do Histórico do SID
O que é um atributo de histórico de SID não seguro?
O Histórico do SID é um atributo que oferece suporte a cenários de migração. Cada conta de usuário tem um identificador de segurança (SID) associado, que é usado para rastrear a entidade de segurança e o acesso que a conta tem ao se conectar a recursos. O Histórico do SID permite que o acesso de outra conta seja efetivamente clonado para outra e é extremamente útil para garantir que os usuários mantenham o acesso quando movidos (migrados) de um domínio para outro.
A avaliação verifica se há contas com atributos de Histórico do SID que os perfis do Microsoft Defender for Identity consideram arriscados.
Qual o risco que o atributo de histórico de SID não seguro representa?
As organizações que não conseguem proteger seus atributos de conta deixam a porta aberta para agentes mal-intencionados.
Atores mal-intencionados, assim como ladrões, muitas vezes procuram a maneira mais fácil e silenciosa de entrar em qualquer ambiente. Contas configuradas com um atributo de histórico de SID não seguro são janelas de oportunidades para invasores e podem expor riscos.
Por exemplo, uma conta não confidencial em um domínio pode conter o SID de administrador corporativo em seu histórico de SID de outro domínio na floresta do Active Directory, "elevando" o acesso da conta de usuário a um administrador de domínio efetivo em todos os domínios da floresta. Além disso, se você tiver uma relação de confiança de floresta sem a Filtragem SID habilitada (também chamada de Quarentena), é possível injetar um SID de outra floresta e ele será adicionado ao token do usuário quando autenticado e usado para avaliações de acesso.
Como faço para usar essa avaliação de segurança?
Revise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais de suas contas têm um atributo de Histórico de SID não seguro.
Execute a ação apropriada para remover o atributo Histórico do SID das contas usando o PowerShell usando as seguintes etapas:
Identifique o SID no atributo SIDHistory na conta.
Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistoryRemova o atributo SIDHistory usando o SID identificado anteriormente.
Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
Observação
Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.