有 SID 歷程記錄
說明
來源安全主體的 SIDHistory 屬性中具有目標安全主體的 SID,這表示來源具有與目標相同的權限。
SID 歷程記錄是在網域之間移轉安全主體時使用的合法機制,用於保留參照其先前 SID 功能的所有授權。
但是,這也是攻擊者使用的潛伏機制,因為它允許隱密的後門程式帳戶擁有與所需目標 (例如管理員帳戶) 相同的權限。
利用
因為目標的 SID 被透通地新增至 Active Directory 驗證機制產生的權杖 (NTLM 和 Kerberos),所以入侵來源安全主體的攻擊者可直接以目標安全主體的身分進行驗證。
修復
如果來源安全主體和目標安全主體與核准的網域移轉相關,您可以認為此關係合法,不用執行任何動作。系統在提醒潛在的攻擊路徑時仍會顯示此關係。
如果原始網域在移轉後遭到刪除,或 Tenable Identity Exposure 中未設定原始網域,則目標安全主體會被標記為「未解決」。由於風險存在於目標安全主體,而此目標安全主體並不存在,因此沒有風險,也不需要修復。
相反,Active Directory 會阻止建立本機權限使用者或群組的 SID 歷程記錄關係,所以這些關係很可能是惡意的。這表示它們可能是使用「DCShadow」攻擊等駭客技術建立。您也可以在與「SID 歷程記錄」相關的曝險指標 (IoE) 中找到這些案例。
如果是這種情況,Tenable Identity Exposure 建議對整個 Active Directory 樹系進行鑑識檢查。這是因為攻擊者必須取得提高的特權 (網域管理員或同等權限),才能惡意編輯來源的 SID 歷程記錄。鑑識檢查可協助您使用對應的修復指南來分析攻擊,找出潛在的後門程式並將其要移除。
最後,Microsoft 建議您修改所有服務 (SMB 共用、Exchange 等) 中所有的存取權限,然後使用新的 SID,並在此移轉完成後移除不必要的 SIDHistory 值。這是清理的最佳做法,全面識別並修復所有 ACL 會非常困難。
有權編輯來源物件中 SIDHistory 屬性的使用者可移除 SIDHistory 值。與建立作業不同,此作業不需要網域管理員權限。
您只能使用 PowerShell 執行此作業時,Active Directory 使用者和電腦等圖形工具會失效。範例:
Set-ADUser -Identity <user> -Remove @{sidhistory="S-1-..."}注意:雖然移除 SIDHistory 值很容易,但還原此作業卻非常複雜。這是因為您必須重新建立 SIDHistory 值,而這需要有其他可能已淘汰的網域。因此,Microsoft 也建議您準備快照或備份。
另請參閱