語系:
我們通常會使用群組來授予環境中資源的存取權,但另一個較不為人知卻同等重要的方式為 Active Directory (AD) 功能 Primary Group,其亦可授予資源的存取權。
Primary Group 是由 Microsoft 建立的機制,用於支援舊版 UNIX 應用程式,此類應用程式會以與 Windows 不同的方式儲存群組成員資格。
因此,在 AD 中,成為群組成員或為此群組設定 Primary Group 的運作方式完全相同。
Microsoft AD 管理軟體瞭解此功能,但這並不適用於所有的外部監控工具。
因此,使用 Primary Group 是萬不得已要解決安全風險時才會考量的不良做法。
將所有使用者的 primaryGroupId 屬性設為安全值。
Well-known security identifiers in Windows operating systems
名稱: 使用者主要群組
代碼名稱: C-DANG-PRIMGROUPID
嚴重性: Critical
Gentil Kiwi: mimikatz - DCShadow