セキュリティ評価: セキュリティで保護されていない SID 履歴属性
セキュリティで保護されていない SID 履歴属性とは
SID 履歴は、移行シナリオをサポートする属性です。 すべてのユーザー アカウントには、セキュリティ プリンシパルとリソースへの接続時にアカウントにあるアクセスを追跡するために使用されるセキュリティ ID (SID) が関連付けられています。 SID 履歴を使用すると、別のアカウントにアクセスして効果的に別のアカウントへのクローンを行うことができます。これは、1 つのドメインから別のドメインに移動 (移行) するときにユーザーがアクセス権を保持することを確保するために非常に便利です。
この評価では、Microsoft Defender for Identity プロファイルが危険である SID 履歴属性を持つアカウントを確認します。
セキュリティで保護されていない SID 履歴属性はどのようなリスクをもたらしますか。
アカウントの属性をセキュリティで保護できていない組織は、悪意のあるアクターに対してドアのロックを閉めないままにしておくようなものです。
悪意のあるアクターは泥棒のように多くの場合、すべての環境で最も簡単で静かな方法を探します。 セキュリティで保護されていない SID 履歴属性を使用して構成されたアカウントは、攻撃者にとってのチャンスの入口であり、リスクにさらされています。
たとえば、ドメイン内の機密性の高いアカウントには、Active Directory フォレスト内の別のドメインの SID 履歴にエンタープライズ 管理 SID を含めることができるため、フォレスト内のすべてのドメイン管理者に対するユーザー アカウントのアクセス権を「昇格」できます。 また、SID フィルタリングが有効になっていないフォレスト信頼 (検疫とも呼ばれます) がある場合は、別のフォレストから SID を挿入することがあり、認証時にユーザー トークンに追加され、アクセス評価に使用されます。
このセキュリティ評価はどのように使用できますか。
https://security.microsoft.com/securescore?viewid=actions よりセキュリティで保護されていない SID 履歴属性を持つアカウントを検出するために推奨されるアクションを確認します。
次の手順に従い、PowerShell を使用してアカウントから SID 履歴属性を削除するための適切なアクションを実行します。
アカウントの SIDHistory 属性で SID を識別します。
Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory
前に指定した SID を使用して SIDHistory 属性を削除します。
Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
Note
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態が完了としてマークされるまでに時間がかかる場合があります。