语言:
尽管在环境中常以组的方式授予对资源的访问权限,但还有另一种鲜为人知,但同样重要的 Active Directory (AD) 功能,即 Primary Group,此功能也可以授予对资源的访问权限。
Primary Group 是一种 Microsoft 为支持不同于 Windows 组成员储存方式的旧版 UNIX 应用程序而创建的机制。
因此,无论是作为组成员还是为该组设置 Primary Group,二者在 AD 中的工作原理完全相同。
Microsoft AD 管理软件知悉此功能,但并非所有外部监视工具都是如此。
因此,使用 Primary Group 轻则是一种不佳实践,重则是一个亟需解决的安全风险。
将所有用户的 primaryGroupId 属性重置为安全值。
Well-known security identifiers in Windows operating systems
名称: 用户主要组
代码名称: C-DANG-PRIMGROUPID
严重程度: Critical
Gentil Kiwi: mimikatz - DCShadow