Erkennungen

Konten mit einem gefährlichen SID History-Attribut

high

Sprache:

Beschreibung

In Migrationsszenarien verwenden Administratoren den SID History-Mechanismus, der jedoch von Angreifern ausgenutzt werden kann, um ihre Rechte auszuweiten.

Lösung

Sie sollten gefährliche Werte, die für Migrationszwecke gespeichert wurden, entfernen.

Siehe auch

How to remove SID History with PowerShell

Security Considerations for Trusts

Indikatordetails

Name: Konten mit einem gefährlichen SID History-Attribut

Codename: C-ACCOUNTS-DANG-SID-HISTORY

Schweregrad: High

Typ: Active Directory Indicator of Exposure

Family: Privilegierte Konten

MITRE ATT&CK-Informationen:

Taktik: TA0001 – Erster Zugang -
- Techniken: T1199 – Vertrauenswürdige Beziehung -
Taktik: TA0008 – Lateral Movement -
- Techniken: T1550 – Alternatives Authentifizierungsmaterial verwenden -
Taktik: TA0003 – Persistenz -
Taktik: TA0004 – Rechteausweitung -
- Techniken: T1134.005 – Manipulation von Zugriffstoken – Eingeschleuster SID-Verlauf -