Primäre Gruppe des Benutzers
critical
Sprache:
Beschreibung
Während Gruppen der übliche Weg sind, um Zugriff auf Ressourcen in einer Umgebung zu gewähren, kann eine andere, weniger bekannte, aber ebenso wichtige Active Directory (AD)-Funktion, nämlich Primary Group, ebenfalls Zugriff auf Ressourcen gewähren.
Bei Primary Group handelt es sich um einen Mechanismus, der von Microsoft zur Unterstützung älterer UNIX-Anwendungen entwickelt wurde, die Gruppenmitgliedschaften anders speichern als Windows.
Von daher funktioniert die Zugehörigkeit zu einer Gruppe oder das Vorhandensein einer für diese Gruppe festgelegten Primary Group genauso wie in AD.
Microsoft AD-Verwaltungssoftware kennt diese Funktion, dies ist jedoch nicht bei allen externen Überwachungstools der Fall.
Daher gilt die Verwendung der Primary Group zumindest als schlechte Praxis und im schlimmsten Fall als Sicherheitsrisiko, das behoben werden muss.
Lösung
Setzen Sie alle primaryGroupId-Benutzerattribute auf einen sicheren Wert zurück.
Siehe auch
Well-known security identifiers in Windows operating systems
Indikatordetails
Name: Primäre Gruppe des Benutzers
Codename: C-DANG-PRIMGROUPID
Schweregrad: Critical
Taktiken: TA0004 – Rechteausweitung, TA0003 – Persistenz
Techniken: T1078 – Gültige Konten, T1098 – Kontomanipulation
Bekannte Tools von Angreifern
Gentil Kiwi: mimikatz - DCShadow