安全性評估：不安全的 SID 歷程記錄屬性

什麼是不安全的 SID 歷程記錄屬性？

SID 歷程記錄是支援 移轉案例的屬性。 每個用戶帳戶都有相關聯的 安全性 IDentifier （SID）， 用來追蹤安全性主體，以及帳戶連線到資源時擁有的存取權。 SID 歷程記錄可讓另一個帳戶有效地複製到另一個帳戶，而且對於確保使用者在從某個網域移至另一個網域時保留存取權非常實用。

評量會檢查具有 SID 歷程記錄屬性的帳戶，適用於身分識別的 Microsoft Defender 配置檔有風險。

不安全的 SID 歷程記錄屬性構成哪些風險？

無法保護其帳戶屬性的組織，讓惡意執行者無法鎖定大門。

惡意演員，非常像竊賊，經常尋找最簡單和最安靜的方式進入任何環境。 使用不安全 SID 歷程記錄屬性設定的帳戶是攻擊者的機會視窗，而且可能會暴露風險。

例如，網域中的非敏感性帳戶可以從 Active Directory 樹系中的另一個網域，在其 SID 歷程記錄中包含 Enterprise 管理員 SID，從而將用戶帳戶的存取權「提升」到樹系中所有網域的有效網域 管理員。 此外，如果您有未啟用 SID 篩選的樹系信任（也稱為隔離），則可以從另一個樹系插入 SID，並在驗證並用於存取評估時將它新增至使用者令牌。

如何? 使用此安全性評定嗎？

1. 檢閱 的建議 https://security.microsoft.com/securescore?viewid=actions 動作，以探索哪些帳戶具有不安全的 SID 歷程記錄屬性。

   

2. 使用下列步驟，採取適當的動作，使用 PowerShell 從帳戶中移除 SID History 屬性：

   1. 識別帳戶上 SIDHistory 屬性中的 SID。

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory
      

   2. 使用先前識別的 SID 移除 SIDHistory 屬性。

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
      

注意

雖然評定會近乎即時地更新，但分數和狀態會每隔 24 小時更新一次。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新，但狀態可能需要一些時間才能將其標示為 已完成。

另請參閱

• 深入瞭解 Microsoft 安全分數
• 請參閱適用於身分識別的Defender論壇！