Beveiligingsevaluatie: Onbeveiligde SID-geschiedeniskenmerken

Wat is een onbeveiligd SID-geschiedeniskenmerk?

SID-geschiedenis is een kenmerk dat ondersteuning biedt voor migratiescenario's. Elk gebruikersaccount heeft een bijbehorende BEVEILIGINGS-IDentifier (SID) die wordt gebruikt voor het bijhouden van de beveiligingsprincipaal en de toegang die het account heeft bij het maken van verbinding met resources. SID-geschiedenis maakt het mogelijk om toegang voor een ander account effectief te klonen naar een ander account en is uiterst nuttig om ervoor te zorgen dat gebruikers toegang behouden wanneer ze van het ene naar het andere domein worden verplaatst (gemigreerd).

Tijdens de evaluatie wordt gecontroleerd op accounts met SID-geschiedeniskenmerken waarvan Microsoft Defender for Identity-profielen riskant zijn.

Welk risico vormt een onbeveiligd SID History-kenmerk?

Organisaties die hun accountkenmerken niet kunnen beveiligen, laten de deur ontgrendeld voor kwaadwillende actoren.

Kwaadwillende actoren, net als dieven, zoeken vaak naar de eenvoudigste en rustigste manier in elke omgeving. Accounts die zijn geconfigureerd met een onbeveiligd SID History-kenmerk zijn vensters van mogelijkheden voor aanvallers en kunnen risico's blootstellen.

Een niet-gevoelig account in een domein kan bijvoorbeeld de SID van enterprise-Beheer bevatten in de SID-geschiedenis van een ander domein in het Active Directory-forest, waardoor de gebruikersaccount toegang krijgt tot een effectief domein Beheer in alle domeinen in het forest. Als u een forestvertrouwensrelatie hebt zonder SID-filtering ingeschakeld (ook wel Quarantaine genoemd), is het ook mogelijk om een SID uit een ander forest te injecteren en wordt deze toegevoegd aan het gebruikerstoken wanneer deze wordt geverifieerd en gebruikt voor toegangsevaluaties.

Hoe kan ik deze beveiligingsevaluatie gebruiken?

1. Bekijk de aanbevolen actie om https://security.microsoft.com/securescore?viewid=actions te ontdekken welke van uw accounts een onbeveiligd SID-geschiedeniskenmerk hebben.

   

2. Voer de juiste actie uit om het kenmerk SID-geschiedenis uit de accounts te verwijderen met behulp van PowerShell met behulp van de volgende stappen:

   1. Identificeer de SID in het kenmerk SIDHistory in het account.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory
      

   2. Verwijder het SIDHistory-kenmerk met behulp van de eerder geïdentificeerde SID.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
      

Notitie

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen een paar minuten na de implementatie van de aanbevelingen wordt bijgewerkt, kan de status nog steeds even duren totdat deze is gemarkeerd als Voltooid.

Zie ook

• Meer informatie over Microsoft Secure Score
• Bekijk het Defender for Identity-forum.