AD Starter Scan - 主要群组 ID 完整性

high Nessus 插件 ID 150487

简介

在用户帐户上发现一个使用主要组 ID 属性的潜在后门。

描述

群组是提供对环境中资源访问权限的标准方式。因此,应当极为谨慎地处理群组成员身份。Active Directory 有一项不大为人所知的功能可用于相同用途:主要群组 ID。这是为支持旧版 UNIX 应用程序而创建的机制,其中群组成员资格的存储方式与 Windows 相同。从 Active Directory 的角度来看,当检查资源的访问权限时,成为群组成员或为此群组设置主要群组 ID 完全相同。并非所有的第三方工具和软件都考虑此用例。

使用主群组 ID 机制会被视为不良做法,并且存在安全风险。

注意:AD Starter Scan 和相关插件旨在与较小的 AD 部署一起使用,以进行初步分析。对于最多 5,000 个用户、组或计算机的 AD 部署,预计可以获得准确的初步分析,而对于包含 Nessus、安全中心和漏洞管理的大型 AD 部署,将返回不完整的结果。如需进一步了解 Active Directory Starter Scan 插件发现的问题,请参阅此博客文章 - https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

解决方案

从安全角度看,由于它提供的是隐藏式后门机制,所以应将域帐户的主要组 ID 值重置为默认值:

- 对于该域的每个用户帐户,无论帐户的功能类型如何(普通或特权用户、服务帐户、VIP 用户等),PGID 都应设置为 513。
- 访客帐户是特定的用户帐户,PGID 应设置为 514
- 对于域的每个计算机帐户,不论计算机的功能类型如何(台式计算机或服务器),PGID 应设置为 515(域控制器除外)
- 对于域中的每个域控制器,应根据预期的域控制器类型设置 PGID:
- 对于标准的读写域控制器,PGID 应设置为 516
- 对于只读型域控制器,PGID 应设置为 521
- 对于企业用只读型域控制器,PGID 应设置为 498

另见

http://www.nessus.org/u?748f1454

http://www.nessus.org/u?dae9d9c5

http://www.nessus.org/u?d5c4c81f

插件详情

严重性: High

ID: 150487

文件名: adsi_pgid.nbin

版本: 1.108

类型: local

代理: windows

系列: Windows

发布时间: 2021/7/29

最近更新时间: 2024/10/10

支持的传感器: Nessus Agent, Nessus

风险信息

CVSS 分数理由: Score based on an in-depth analysis by tenable.

CVSS v2

风险因素: High

基本分数: 7.1

矢量: CVSS2#AV:N/AC:H/Au:S/C:C/I:C/A:C

CVSS 分数来源: manual

CVSS v3

风险因素: High

基本分数: 7.5

矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

漏洞信息

CPE: cpe:/a:microsoft:active_directory

必需的 KB 项: ldap_enum_computer/available, ldap_enum_person/available, ldap_enum_domaindns/available