AD Starter Scan - 主要群组 ID 完整性

high Nessus 插件 ID 150487

语言：

简介

在用户帐户上发现一个使用主要组 ID 属性的潜在后门。

描述

群组是提供对环境中资源访问权限的标准方式。因此，应当极为谨慎地处理群组成员身份。Active Directory 有一项不大为人所知的功能可用于相同用途：主要群组 ID。这是为支持旧版 UNIX 应用程序而创建的机制，其中群组成员资格的存储方式与 Windows 相同。从 Active Directory 的角度来看，当检查资源的访问权限时，成为群组成员或为此群组设置主要群组 ID 完全相同。并非所有的第三方工具和软件都考虑此用例。

使用主群组 ID 机制会被视为不良做法，并且存在安全风险。

注意：AD Starter Scan 和相关插件旨在与较小的 AD 部署一起使用，以进行初步分析。对于最多 5,000 个用户、组或计算机的 AD 部署，预计可以获得准确的初步分析，而对于包含 Nessus、安全中心和漏洞管理的大型 AD 部署，将返回不完整的结果。如需进一步了解 Active Directory Starter Scan 插件发现的问题，请参阅此博客文章 - https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

解决方案

从安全角度看，由于它提供的是隐藏式后门机制，所以应将域帐户的主要组 ID 值重置为默认值：

- 对于该域的每个用户帐户，无论帐户的功能类型如何（普通或特权用户、服务帐户、VIP 用户等），PGID 都应设置为 513。
- 访客帐户是特定的用户帐户，PGID 应设置为 514
- 对于域的每个计算机帐户，不论计算机的功能类型如何（台式计算机或服务器），PGID 应设置为 515（域控制器除外）
- 对于域中的每个域控制器，应根据预期的域控制器类型设置 PGID：
- 对于标准的读写域控制器，PGID 应设置为 516
- 对于只读型域控制器，PGID 应设置为 521
- 对于企业用只读型域控制器，PGID 应设置为 498