AD Starter Scan - 主要群組 ID 完整性

high Nessus Plugin ID 150487

概要

在使用者帳戶上發現一個使用主要群組 ID 屬性的潛在後門程式。

說明

群組是在環境中提供資源存取權的標準方式。因此,應該極為謹慎地對待群組成員資格。Active Directory 有一項不大為人知的功能可用於相同目的:主要群組 ID。此機制是為了支援舊版 UNIX 應用程式而建立,其群組成員資格的儲存方式與 Windows 不同。檢查對資源的存取權限時,從 Active Directory 的角度來看,成為群組成員或為此群組設定主要群組 ID 是完全相同的。並非所有第三方工具和軟體都會考慮此使用案例。

使用主要群組 ID 機制被視為不良作法,且具有安全性風險。

注意:AD Starter Scan 及相關聯的外掛程式預定與小型 AD 部署搭配使用,以進行初步分析。對於多達 5,000 個使用者、群組或機器的 AD 部署,預期會有準確的初步分析,而且會針對 Nessus、Security Center 和 Vulnerability Management 的大型 AD 部署傳回不完整的結果。如需詳細瞭解 Active Directory Starter Scan 外掛程式發現的問題,請參閱此部落格文章- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

解決方案

從安全性的角度來看,由於其提供的隱藏式後門程式機制,網域帳戶的主要群組 ID 值應重設為預設值:

- 對於網域的每個使用者帳戶,無論帳戶的功能類型為何 (一般使用者或有權限的使用者、服務帳戶、VIP 使用者等等),PGID 都應設為 513。
- 來賓帳戶是特定的使用者帳戶,PGID 應設為 514
- 對於網域中每個電腦的帳戶,無論電腦的功能類型為何 (桌面或伺服器),PGID 皆應設為 515 (網域控制器除外)
- 對於網域的每個網域控制器,應根據預期的網域控制器類型設定 PGID:
- 若是標準型讀寫網域控制器,PGID 應設定為 516
- 若是唯讀型網域控制器,PGID 應設定為 521
- 若是企業版唯讀型網域控制器,PGID 應設定為 498

另請參閱

http://www.nessus.org/u?748f1454

http://www.nessus.org/u?dae9d9c5

http://www.nessus.org/u?d5c4c81f

Plugin 詳細資訊

嚴重性: High

ID: 150487

檔案名稱: adsi_pgid.nbin

版本: 1.98

類型: local

代理程式: windows

系列: Windows

已發布: 2021/7/29

已更新: 2024/6/24

支援的感應器: Nessus Agent, Nessus

風險資訊

CVSS 評分論據: Score based on an in-depth analysis by tenable.

CVSS v2

風險因素: High

基本分數: 7.1

媒介: CVSS2#AV:N/AC:H/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: manual

CVSS v3

風險因素: High

基本分數: 7.5

媒介: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

弱點資訊

CPE: cpe:/a:microsoft:active_directory

必要的 KB 項目: ldap_enum_person/available, ldap_enum_computer/available, ldap_enum_domaindns/available