AD Starter Scan - 主要群組 ID 完整性

high Nessus Plugin ID 150487

語系：

概要

在使用者帳戶上發現一個使用主要群組 ID 屬性的潛在後門程式。

說明

群組是在環境中提供資源存取權的標準方式。因此，應該極為謹慎地對待群組成員資格。Active Directory 有一項不大為人知的功能可用於相同目的：主要群組 ID。此機制是為了支援舊版 UNIX 應用程式而建立，其群組成員資格的儲存方式與 Windows 不同。檢查對資源的存取權限時，從 Active Directory 的角度來看，成為群組成員或為此群組設定主要群組 ID 是完全相同的。並非所有第三方工具和軟體都會考慮此使用案例。

使用主要群組 ID 機制被視為不良作法，且具有安全性風險。

注意：AD Starter Scan 及相關聯的外掛程式預定與小型 AD 部署搭配使用，以進行初步分析。對於多達 5,000 個使用者、群組或機器的 AD 部署，預期會有準確的初步分析，而且會針對 Nessus、Security Center 和 Vulnerability Management 的大型 AD 部署傳回不完整的結果。如需詳細瞭解 Active Directory Starter Scan 外掛程式發現的問題，請參閱此部落格文章- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

解決方案

從安全性的角度來看，由於其提供的隱藏式後門程式機制，網域帳戶的主要群組 ID 值應重設為預設值：

- 對於網域的每個使用者帳戶，無論帳戶的功能類型為何 (一般使用者或有權限的使用者、服務帳戶、VIP 使用者等等)，PGID 都應設為 513。
- 來賓帳戶是特定的使用者帳戶，PGID 應設為 514
- 對於網域中每個電腦的帳戶，無論電腦的功能類型為何 (桌面或伺服器)，PGID 皆應設為 515 (網域控制器除外)
- 對於網域的每個網域控制器，應根據預期的網域控制器類型設定 PGID：
- 若是標準型讀寫網域控制器，PGID 應設定為 516
- 若是唯讀型網域控制器，PGID 應設定為 521
- 若是企業版唯讀型網域控制器，PGID 應設定為 498