Language:
グループは環境内のリソースへのアクセスを許可する通常の方法です。またあまり知られていませんが、同様に重要なもう 1 つの Active Directory (AD) 機能、Primary Group もリソースへのアクセスを許可します。
Primary Group は、Windows とは異なる方法でグループメンバーシップを保存するレガシー UNIX アプリケーションをサポートするために Microsoft が作成したメカニズムです。
したがって、グループのメンバーであること、またはこのグループの Primary Group セットがあることは、AD の場合とまったく同様に機能します。
Microsoft AD 管理ソフトウェアはこの機能を認識していますが、これはすべての外部監視ツールに当てはまるわけではありません。
したがって、Primary Group を使用することは少なくともバッドプラクティスあり、最悪の場合は対処すべきセキュリティリスクであると考えられています。
すべてのユーザー primaryGroupId 属性を安全な値へリセットします。
Well-known security identifiers in Windows operating systems
名前: ユーザープライマリグループ
コード名: C-DANG-PRIMGROUPID
深刻度: Critical
Gentil Kiwi: mimikatz - DCShadow