检测

插件

最近更新时间

插件系列介绍

指标

风险暴露指标

具有存在风险的 SID History 属性的帐户

high

语言：

描述

在迁移方案中，管理员使用 SID History 机制，但攻击者可以利用该机制提升自己的特权。

解决方案

您应删除为迁移目的而存储的存在风险的值。

另见

How to remove SID History with PowerShell

Security Considerations for Trusts

指标详细信息

名称: 具有存在风险的 SID History 属性的帐户

代码名称: C-ACCOUNTS-DANG-SID-HISTORY

严重性: High

类型: Active Directory Indicator of Exposure

Family: 特权帐户

MITRE ATT&CK 信息:

策略: TA0001 - 初始访问
- 技术: T1199 - 受信任关系
策略: TA0008 - 横向移动
- 技术: T1550 - 使用其他身份验证材料
策略: TA0003 - 持久性
策略: TA0004 - 特权提升
- 技术: T1134.005 - 访问令牌操纵 - SID 历史记录注入