SID 履歴あり

説明

ソースセキュリティプリンシパルの SIDHistory 属性にターゲットセキュリティプリンシパルの SID がある場合、それはソースがターゲットと同じ権限を持っていることを意味します。

SID 履歴は、ドメイン間でセキュリティプリンシパルを移行して、過去の SID 機能を参照するすべての権限を保持するために使用される正当なメカニズムです。

ただし、これは攻撃者が使用する永続的なメカニズムともなります。これを使うことによって、目立たないバックドアアカウントに、管理者アカウントなど任意のターゲットと同じ権限を与えることが可能になるからです。

悪用

ターゲットの SID は Active Directory 認証メカニズムが生成するトークン (NTLM および Kerberos) に透過的に追加されるため、ソースのセキュリティプリンシパルを侵害した攻撃者は、ターゲットのセキュリティプリンシパルとして直接認証を受けられます。

修正方法

ソースとターゲットのセキュリティプリンシパルが承認されたドメイン移行に関連している場合、その関係は正当なものであり、アクションは一切実行されません。この関係は、潜在的な攻撃経路を示すものとして表示されたままになります。

元のドメインが移行後に削除されたか Tenable Identity Exposure で設定されていない場合、ターゲットセキュリティプリンシパルは未解決としてマークされます。リスクはターゲットにありますが、そのターゲットが存在しないため、リスクはなく、修正は必要ありません。

逆に、ネイティブの特権ユーザーまたは特権グループに関係する SID 履歴が存在する場合は、Active Directory がその作成を阻止しているので、悪質なものである可能性が非常に高いです。それらの関係がおそらく「DCShadow」攻撃などのハッカー技術を使用して作成されたことを意味します。これらのケースは、「SID 履歴」に関連する IoE にも表示されます。

その場合、Tenable Identity Exposure は Active Directory フォレスト全体のフォレンジック検査を提案します。なぜなら、ソースの SID 履歴が編集できるということは、攻撃者がドメイン管理者または同等の高い権限を取得していることを表しているからです。フォレンジック検査は、対応する修正ガイダンスを使うなどして攻撃を分析するのに役立ち、削除するべき潜在的なバックドアを特定します。

最後に、Microsoft は、すべてのサービス (SMB 共有、Exchange など) のすべてのアクセス権を変更して新しい SID を使用し、この移行の完了後に不要な SIDHistory 値を削除することを推奨しています。すべての ACL を徹底的に特定して修正することは非常に困難ですが、これはハウスキーピングとしてベストプラクティスです。

ソースオブジェクト自体の SIDHistory 属性を編集する権限を持つユーザーは、SIDHistory 値を削除できます。作成とは違い、この操作にはドメイン管理者権限は必要ありません。

Active Directory ユーザーとコンピューターなどのグラフツールでは失敗するため、この操作を行うには PowerShell が必要です。例

Set-ADUser -Identity <user> -Remove @{sidhistory="S-1-..."}

注意: SIDHistory 値を削除することは簡単ですが、この操作を元に戻すのは非常に複雑です。廃止になっているかもしれない他のドメインの存在を必要とする SIDHistory 値を再作成しなければならないからです。そのため、Microsoft はスナップショットやバックアップを準備することも推奨しています。

関連項目

• キー認証情報の追加

• メンバーの追加

• 操作が許可されている

• 委任が許可されている

• GPO に属している

• DCSync

• 操作の許可を付与できる

• 暗黙的な乗っ取り

• GPO を継承

• リンクされている GPO

• グループのメンバー

• 所有

• パスワードのリセット

• RODC 管理

• DACL の書き込み

• 所有者の書き込み