تقييمات الوضع الأمني للحسابات

ملاحظة

بينما يتم تحديث التقييمات في الوقت الفعلي تقريبا، يتم تحديث الدرجات والحالات كل 24 ساعة. بينما يتم تحديث قائمة الكيانات المتأثرة في غضون بضع دقائق من تنفيذ التوصيات، قد تستغرق الحالة وقتا حتى يتم وضع علامة عليها على أنها مكتملة.

إزالة حسابات Active Directory القديمة (معاينة)

الوصف

تسرد هذه التوصية أي حسابات مستخدمين في Active Directory قديمة، ما يعني أنها لم تسجل الدخول على الإطلاق خلال ال 90 يوما الماضية.

الحسابات المستبعدة:

  • حسابات الخدمة
  • الحسابات المعطلة أو المحذوفة.

تأثير المستخدم

تشكل الحسابات القديمة خطرا أمنيا لأنها توفر أهدافا محتملة للمهاجمين دون مراقبتها بنشاط. يمكن استخدام الحسابات القديمة المخترقة للحصول على وصول غير مصرح به، أو الانتقال أفقيا في البيئة، أو تصعيد الامتيازات. تؤدي إزالتها أو تعطيلها إلى تقليل التعرض غير الضروري وتعزيز الوضع الأمني العام.

تنفيذ

  1. راجع الكيانات المكشوفة لتحديد حسابات المستخدمين القديمة التي لم تسجل دخولها خلال ال 90 يوما الماضية.

  2. قم بتعطيل الحساب إذا تم تأكيد عدم استخدامه أو إزالته بالكامل وفقا لنهج الاستبقاء الخاص بك.

  3. قم بتعطيل وحذف حسابات المستخدمين بدون تسجيل دخول لمدة 90 يوما بعد فترة المراقبة.

  4. إزالة حسابات الموظفين السابقين لمنع الوصول غير المصرح به.

Microsoft Entra ID حسابات المستخدمين المتميزة المميزة أيضا في Active Directory (معاينة)

الوصف

تسرد هذه التوصية أي حسابات مستخدمين لها أدوار مميزة في Microsoft Entra ID (مثل المسؤول العام) وهي أيضا أعضاء في مجموعات Active Directory ذات الامتيازات العالية (على سبيل المثال، مسؤولو المجال ومسؤولو المؤسسة). تزيد هذه الحسابات ذات الامتيازات المزدوجة بشكل كبير من سطح هجوم المؤسسة.

ملاحظة

يتم استبعاد الضيوف والهويات الخارجية والحسابات غير المتزامنة مع Microsoft Entra ID من هذا التقرير. يتم تضمين الحسابات التي يتم تمكينها والاحتفاظ بالامتيازات في كل من معرف Entra وActive Directory فقط.

تأثير المستخدم

يمكن للمهاجمين الاستفادة من الحسابات ذات الامتيازات في كل من Microsoft Entra ID وActive Directory للتحكم الكامل في كل من البيئات السحابية والمحلية. قد يسمح اختراق حساب واحد بالحركة الجانبية، وتصعيد الامتيازات، والوصول إلى الموارد الحساسة عبر البيئات المختلطة. الحسابات ذات الامتيازات المزدوجة هي أهداف عالية القيمة ويمكنها تسريع الهجمات إذا لم تتم إدارتها بشكل صحيح.

تنفيذ

  1. راجع قائمة الكيانات المكشوفة لتحديد الحسابات التي لها وصول متميز في كل من Microsoft Entra ID وActive Directory.

  2. معالجة الحساب عن طريق تقليل الامتيازات في بيئات واحدة أو كليهما لفرض أقل امتياز. الاحتفاظ بالامتيازات المزدوجة فقط إذا لزم الأمر، وتوثيق التبرير.

  3. ضع في اعتبارك فصل الأدوار السحابية والأماكن المحلية عبر حسابات مختلفة أو تنفيذ الوصول في الوقت المناسب لتقليل التعرض الدائم.

  4. استخدم Microsoft Entra إدارة الهويات المتميزة (PIM) لفرض مهام سير عمل الموافقة والحد من الوصول الدائم للحسابات التي يجب أن تحتفظ بامتيازات مرتفعة.

على سبيل المثال:

  • يجب أن يكون لدى المستخدم المسؤول العام في Microsoft Entra ID مسؤول المجال في Active Directory أحد الأدوار التي تم تقليلها أو استبدالها بالوصول الإداري المفوض.

  • إذا كانت الامتيازات المزدوجة مطلوبة للعمليات الهامة، فمكن المصادقة متعددة العوامل، وراقب عمليات تسجيل الدخول عن كثب، وراجع العضويات بانتظام.

تحديد حسابات الخدمة في المجموعات المتميزة

الوصف

يسرد حسابات خدمة Active Directory داخل بيئتك الأعضاء في المجموعات المتميزة، بما في ذلك العضوية المباشرة والمتداخلة.

تأثير المستخدم

غالبا ما تحتوي حسابات الخدمة على بيانات اعتماد طويلة الأمد وتستخدمها التطبيقات أو البرامج النصية أو المهام التلقائية. عندما تكون هذه الحسابات أعضاء في مجموعات ذات امتيازات عالية (على سبيل المثال، مسؤولو المجال أو مسؤولو المؤسسة)، فإنها تزيد من سطح هجوم المؤسسة. يمكن أن يمنح اختراق أحد هذه الحسابات للمهاجم وصولا إداريا واسعا إلى الأنظمة والبيانات الهامة. بالإضافة إلى ذلك، نظرا لأن حسابات الخدمة غير مرتبطة بمستخدم معين وغالبا ما تفتقر إلى المراقبة التفاعلية، فقد يمر النشاط الضار الذي يتم تنفيذه ضمن هذه الحسابات دون أن يلاحظه أحد، مما يؤدي إلى تأخير الكشف والاستجابة.

تنفيذ

  1. راجع الكيانات المكشوفة لتحديد حسابات خدمة Active Directory الأعضاء في المجموعات المتميزة، مثل مسؤولي المجال أو مسؤولي المؤسسة أو المسؤولين.

  2. قم بإزالة الحساب من المجموعة المميزة إذا لم يكن الوصول المرتفع مطلوبا، أو قم بتعطيل الحساب إذا لم يكن مستخدما.

على سبيل المثال:

  • حساب خدمة غير مستخدم أو تم إيقاف تشغيله:

    • قم بتعطيل الحساب في Active Directory بعد تأكيد عدم وجود عمليات تسجيل دخول أو تبعيات حديثة.

    • مراقبة لفترة قصيرة (7-14 يوما). إذا لم يكن نشطا، فاحذفه وفقا لنهجك.

  • حساب الخدمة النشط دون الحاجة إلى حقوق المسؤول:

    • قم بإزالته من المجموعة المميزة كما هو مكشوف في التقرير.

    • امنح الحد الأدنى من الوصول المطلوب فقط من خلال الأذونات المفوضة أو مجموعات الأمان النطاقية.

  • استبدال الحسابات القديمة:

    • ترحيل حسابات الخدمة إلى حسابات الخدمة المدارة للمجموعة (gMSA) للتناوب التلقائي لكلمة المرور وتقليل تعرض بيانات الاعتماد.

  • الحسابات التي يجب أن تظل مميزة

    • تقييد المكان الذي يمكنهم تسجيل الدخول فيه باستخدام الخاصية Log on to .

    • تقييد عمليات تسجيل الدخول التفاعلية عبر نهج المجموعة وتمكين التدقيق المركز لنشاطهم.

    • تتطلب الملكية والوثائق والمراجعة الدورية للعضوية المتميزة.

تحديد موقع الحسابات في مجموعات عوامل التشغيل المضمنة

الوصف

يسرد حسابات Active Directory (المستخدمين وحسابات الخدمة والمجموعات) التي هي أعضاء في مجموعات عوامل التشغيل المضمنة مثل عوامل تشغيل الخادم أو مشغلي النسخ الاحتياطي أو مشغلي الطباعة أو مشغلي الحسابات، بما في ذلك العضوية المباشرة وغير المباشرة. تمنح هذه المجموعات امتيازات مرتفعة يمكن استخدامها لاختراق وحدات التحكم بالمجال أو الخوادم الحساسة.

تأثير المستخدم

توفر مجموعات عوامل التشغيل تحكما واسعا في الخوادم والملفات وعمليات النظام. يمكن لأعضاء هذه المجموعات تنفيذ إجراءات إدارية مثل إيقاف الخدمات الهامة أو تعديل الملفات أو استعادة البيانات، والتي يمكن استغلالها لتصعيد الامتيازات أو كسب الاستمرار. نظرا لأنه نادرا ما تكون هناك حاجة إلى هذه المجموعات في البيئات الحديثة، فإن ترك الحسابات فيها يزيد دون داع من خطر إساءة استخدام الامتيازات أو الحركة الجانبية.

تنفيذ

  1. راجع قائمة الكيانات المكشوفة لتحديد أي من حسابات AD الخاصة بك أعضاء في إحدى مجموعات عوامل التشغيل المضمنة (على سبيل المثال، عوامل تشغيل الخادم وعوامل تشغيل النسخ الاحتياطي وعوامل تشغيل الطباعة وعوامل تشغيل الحساب).

  2. قم بإزالة الحساب من مجموعة عامل التشغيل إذا لم يكن الوصول المرتفع مطلوبا، أو قم بتعطيل الحساب إذا لم يكن مستخدما.

على سبيل المثال:

  • قم بإزالة العضوية أو تعطيل حساب الخدمة أو المسؤول الذي تمت إضافته إلى عوامل تشغيل النسخ الاحتياطي لعملية نسخ احتياطي قديمة لم تعد قيد التشغيل.

  • إذا كان الحساب لا يزال يقوم بمهام تشغيلية ولكنه لا يتطلب حقوق عامل تشغيل واسعة، ففوض الأذونات المحددة التي يحتاجها فقط (على سبيل المثال، استعادة الملفات أو إدارة الطباعة على خادم واحد).

  • إذا كانت عضوية مجموعة المشغل ضرورية لوظيفة إدارية معينة، فراقب الحساب، وقيده على المضيفين المطلوبين، وراجعه بانتظام بشكل دوري لتأكيد الضرورة المستمرة.

الحسابات ذات معرف المجموعة الأساسي غير الافتراضي

الوصف

تسرد هذه التوصية جميع أجهزة الكمبيوتر وحسابات المستخدمين التي لا تكون سمة primaryGroupId (PGID) الخاصة بها هي الافتراضية لمستخدمي المجال وأجهزة الكمبيوتر في Active Directory.

تأثير المستخدم

تمنح سمة primaryGroupId لحساب مستخدم أو كمبيوتر عضوية ضمنية لمجموعة. لا تظهر العضوية من خلال هذه السمة في قائمة أعضاء المجموعة في بعض الواجهات. يمكن استخدام هذه السمة كمحاولة لإخفاء عضوية المجموعة. قد تكون طريقة خفية للمهاجم لتصعيد الامتيازات دون تشغيل التدقيق العادي لتغييرات عضوية المجموعة. 

تنفيذ

  1. راجع قائمة الكيانات المكشوفة لاكتشاف أي من حساباتك يحتوي على primaryGroupId مريب.  

  2. اتخذ الإجراء المناسب على هذه الحسابات عن طريق إعادة تعيين سمتها إلى قيمها الافتراضية أو إضافة العضو إلى المجموعة ذات الصلة:

  • حسابات المستخدمين: 513 (مستخدمو المجال) أو 514 (ضيوف المجال)؛

  • حسابات الكمبيوتر: 515 (أجهزة كمبيوتر المجال)؛

  • حسابات وحدة التحكم بالمجال: 516 (وحدات تحكم المجال)؛

  • حسابات وحدة التحكم بالمجال للقراءة فقط (RODC): 521 (وحدات التحكم بالمجال للقراءة فقط).

إزالة حقوق الوصول على الحسابات المشبوهة باستخدام إذن مسؤول SDHolder

الوصف

يمكن أن يكون لوجود حسابات غير حساسة مع أذونات SDHolder (حامل واصف الأمان) مسؤول آثار أمنية كبيرة، بما في ذلك:

  • يؤدي إلى تصعيد الامتيازات غير المصرح به، حيث يمكن للمهاجمين استغلال هذه الحسابات للوصول الإداري واختراق الأنظمة أو البيانات الحساسة
  • زيادة سطح الهجوم، مما يجعل من الصعب تتبع الحوادث الأمنية والتخفيف من حدتها، مما قد يعرض المؤسسة لمخاطر أكبر.

تنفيذ

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actionsلإزالة حقوق الوصول على الحسابات المشبوهة باستخدام إذن مسؤول SDHolder.

    على سبيل المثال:

    لقطة شاشة لتقييم أمان مسؤول SDHolder.

  2. راجع قائمة الكيانات المكشوفة لاكتشاف أي من حساباتك غير الهامة لديها إذن مسؤول SDHolder.

  3. اتخذ الإجراء المناسب بشأن هذه الكيانات عن طريق إزالة حقوق الوصول المميزة الخاصة بها. على سبيل المثال:

    1. استخدم أداة ADSI Edit للاتصال بوحدة التحكم بالمجال.
    2. استعرض للوصول إلى حاوية CN=System>CN=AdminSDHolder وافتح خصائص حاوية CN=AdminSDHolder .
    3. حدد علامة التبويب >الأمانخيارات متقدمة، وقم بإزالة أي كيانات غير منطقية. هذه هي الكيانات التي تم وضع علامة عليها على أنها مكشوفة في تقييم الأمان.

    لمزيد من المعلومات، راجع واجهات خدمة Active Directory ووثائق تحرير ADSI

لتحقيق النتيجة الكاملة، قم بلمعالجة جميع الكيانات المكشوفة.

تغيير كلمة المرور لحساب krbtgt

الوصف

تسرد هذه التوصية أي حساب krbtgt داخل بيئتك مع آخر تعيين لكلمة المرور منذ أكثر من 180 يوما.

تأثير المستخدم

حساب krbtgt في Active Directory هو حساب مضمن تستخدمه خدمة مصادقة Kerberos. يقوم بتشفير وتوقيع جميع تذاكر Kerberos، ما يتيح المصادقة الآمنة داخل المجال. لا يمكن حذف الحساب، وتأمينه أمر بالغ الأهمية، حيث يمكن أن يسمح الاختراق للمهاجمين بتزكية تذاكر المصادقة.
إذا تم اختراق كلمة مرور حساب KRBTGT، يمكن للمهاجم استخدام التجزئة الخاصة به لإنشاء تذاكر مصادقة Kerberos صالحة، ما يسمح له بتنفيذ هجمات البطاقة الذهبية والوصول إلى أي مورد في مجال AD. نظرا لأن Kerberos يعتمد على كلمة مرور KRBTGT لتوقيع جميع التذاكر، فإن المراقبة عن كثب وتغيير كلمة المرور هذه بانتظام أمر ضروري للتخفيف من مخاطر مثل هذه الهجمات.

تنفيذ

  1. راجع قائمة الكيانات المكشوفة لاكتشاف أي من حسابات krbtgt الخاصة بك لها كلمة مرور قديمة.

  2. اتخذ الإجراء المناسب على هذه الحسابات عن طريق إعادة تعيين كلمة المرور الخاصة بها مرتين لإبطال هجوم البطاقة الذهبية. 

ملاحظة

يدعم حساب krbtgt Kerberos في جميع مجالات Active Directory تخزين المفاتيح في جميع مراكز توزيع مفاتيح Kerberos (KDCs). لتجديد مفاتيح Kerberos لتشفير TGT، قم بتغيير كلمة مرور حساب krbtgt بشكل دوري.

نوصي بإعادة تعيين كلمة المرور مرتين، مع الانتظار لمدة 10 ساعات على الأقل بين عمليات إعادة التعيين. تبطل هذه العملية تذاكر Kerberos الحالية للمساعدة في منع هجمات البطاقة الذهبية.

للحصول على الإجراء الرسمي والمدعم، راجع إعادة تعيين كلمة مرور krbtgt.

تغيير كلمة المرور للحساب المحلي باستخدام بيانات اعتماد يحتمل أن تكون مسربة (معاينة)

الوصف

يسرد هذا التقرير المستخدمين الذين تم تسريب بيانات اعتمادهم الصالحة. عندما يخترق مجرمو الإنترنت كلمات المرور الصالحة للمستخدمين الشرعيين، غالبا ما يشارك المجرمون بيانات الاعتماد هذه. ويتم ذلك عن طريق نشرها علنا على شبكة الإنترنت المظلمة أو لصق المواقع أو عن طريق التداول أو بيع بيانات الاعتماد في السوق السوداء. تحصل خدمة بيانات الاعتماد المسربة من Microsoft على أزواج اسم المستخدم/كلمة المرور من خلال مراقبة مواقع الويب العامة والغامقة والعمل مع فرق أمان إنفاذ القانون للباحثين في مصادر موثوقة أخرى من Microsoft.

تأثير المستخدم

عندما تحصل الخدمة على بيانات اعتماد المستخدم من الويب الداكن، يمكن استغلال المواقع أو المصادر المذكورة أعلاه حساب مع بيانات اعتماد مخترقة من قبل الجهات الفاعلة الضارة للحصول على وصول غير مصرح به.

تنفيذ

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actionsلتغيير كلمة المرور للحسابات التي يحتمل أن تكون مسربة بيانات الاعتماد.
  2. راجع قائمة الكيانات المكشوفة لاكتشاف أي من كلمات مرور حسابك تم تسريبها.
  3. اتخذ الإجراءات المناسبة على هذه الكيانات عن طريق إزالة حساب الخدمة:
    1. افتح وحدة تحكم Active Directory Users and Computers (ADUC) وسجل الدخول باستخدام حساب مسؤول.
    2. انتقل إلى الوحدة التنظيمية (OU) حيث يوجد حساب المستخدم.
    3. ابحث عن حساب المستخدم الذي يحتاج إلى تغيير كلمة المرور وحدده.
    4. انقر بزر الماوس الأيمن فوق حساب المستخدم، وحدد إعادة تعيين كلمة المرور، وأدخل كلمة المرور الجديدة، وقم بتأكيدها.

تغيير كلمة مرور حساب مسؤول المجال المضمن

الوصف

تسرد هذه التوصية أي حسابات مسؤول مجال مضمنة داخل بيئتك مع آخر تعيين لكلمة المرور منذ أكثر من 180 يوما. 

تأثير المستخدم

حساب مسؤول المجال المضمن هو حساب AD افتراضي ذي امتيازات عالية مع تحكم كامل في المجال. لا يمكن حذفه، ولديه وصول غير مقيد، وهو أمر بالغ الأهمية لإدارة موارد المجال.

يعد تحديث كلمة مرور حساب المسؤول المضمن بانتظام أمرا ضروريا بسبب امتيازاته العالية، ما يجعلها هدفا رئيسيا للمهاجمين. إذا تم اختراقه، يمكن أن يمنح تحكما غير مصرح به في المجال. نظرا لأن هذا الحساب غالبا ما يكون غير مستخدم وقد لا يتم تحديث كلمة المرور الخاصة به بشكل متكرر، فإن التغييرات المنتظمة تقلل من التعرض وتعزز الأمان. 

تنفيذ

  1. راجع قائمة الكيانات المكشوفة لاكتشاف أي من حسابات مسؤول المجال المضمنة لها كلمة مرور قديمة.  

  2. اتخذ الإجراء المناسب على هذه الحسابات عن طريق إعادة تعيين كلمة المرور الخاصة بها.  

    على سبيل المثال:

لقطة شاشة تعرض تقييم وضع الأمان لتغيير كلمة المرور لحسابات مسؤول المجال المضمنة.

الكيانات الخاملة في المجموعات الحساسة

الوصف

يكتشف Microsoft Defender for Identity ما إذا كان مستخدمون معينون حساسين إلى جانب توفير سمات تظهر إذا كانت غير نشطة أو معطلة أو منتهية الصلاحية.

ومع ذلك، يمكن أن تصبح الحسابات الحساسةأيضا خاملة إذا لم يتم استخدامها لفترة 180 يوما. تعد الكيانات الحساسة الخاملة أهدافا للفرص للجهات الضارة للوصول الحساس إلى مؤسستك.

لمزيد من المعلومات، راجع علامات كيان Defender for Identity في Microsoft Defender XDR.

تأثير المستخدم

تترك المؤسسات التي تفشل في تأمين حسابات المستخدمين الخاملة الباب مفتوحا بيانات حساسة آمنة.

غالبا ما يبحث المستخدمون الضارون، مثل اللصوص، عن أسهل وأهدأ طريقة في أي بيئة. المسار السهل والهادئ في مؤسستك هو من خلال حسابات المستخدمين والخدمات الحساسة التي لم تعد قيد الاستخدام.

لا يهم ما إذا كان السبب هو دوران الموظفين أو سوء إدارة الموارد - يؤدي تخطي هذه الخطوة إلى ترك الكيانات الأكثر حساسية في مؤسستك عرضة للخطر ومعرضة للخطر.

تنفيذ

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لاكتشاف أي من حساباتك الحساسة خاملة.

    لقطة شاشة تعرض إجراءات التحسين لإزالة الحسابات الخاملة من المجموعات الحساسة.

  2. اتخذ الإجراء المناسب على حسابات المستخدمين هذه عن طريق إزالة حقوق الوصول المميزة الخاصة بهم أو عن طريق حذف الحساب.

إزالة الحسابات غير المسؤولة باستخدام أذونات DCSync

الوصف

يمكن للحسابات التي لها إذن DCSync بدء النسخ المتماثل للمجال. يمكن للمهاجمين استغلال النسخ المتماثل للمجال للحصول على وصول غير مصرح به أو معالجة بيانات المجال أو اختراق تكامل بيئة Active Directory وتوافرها.

من الضروري إدارة عضوية هذه المجموعة وتقييدها بعناية لضمان أمان وسلامة عملية النسخ المتماثل للمجال.

تنفيذ

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actionsلإزالة الحسابات غير المسؤولة باستخدام أذونات DCSync.

    لقطة شاشة تعرض الإجراء الموصى به لإزالة الحسابات غير المسؤولة باستخدام أذونات DCsync.

  2. راجع قائمة الكيانات المكشوفة هذه لاكتشاف أي من حساباتك لديها أذونات DCSync وهي أيضا مسؤولي غير مجال.

  3. اتخذ الإجراء المناسب بشأن هذه الكيانات عن طريق إزالة حقوق الوصول المميزة الخاصة بها. لتحقيق أقصى درجة، قم بلمعالجة جميع الكيانات المكشوفة.

يمكنك الوصول إلى Active Directory Users and Computers عن طريق تسجيل الدخول إلى وحدة التحكم بالمجال. لإزالة أذونات DCSync من حساب غير مسؤول:

  1. افتح Active Directory Users and Computers.

  2. قم بتشغيل الميزات المتقدمة. هذا مطلوب لعرض علامة التبويب Security على كائنات المجال.

  3. افتح خصائص المجال، وحدد اسم المجال (على سبيل المثال، contoso.local)، ثم حدد خصائص.

  4. حدد علامة التبويب Security.

  5. حدد المستخدم أو المجموعة المستهدفة ثم حدد حساب الخدمة أو المستخدم غير المسؤول الذي لا ينبغي أن يكون لديه هذه الأذونات.

  6. إلغاء تحديد أذونات النسخ المتماثل. قم بالتمرير عبر قائمة "أذونات [المستخدم]" لإلغاء تحديد الأذونات التالية إذا تم تحديدها:

    • نسخ تغييرات الدليل نسخا متماثلا
    • النسخ المتماثل لتغييرات الدليل الكل

  7. حدد تطبيق، ثم حدد موافق.

التأكد من عدم تفويض الحسابات المميزة

الوصف

تسرد هذه التوصية جميع الحسابات المميزة التي لم يتم تمكين إعداد "غير مفوض"، مع تمييز الحسابات التي يحتمل أن تتعرض لمخاطر متعلقة بالتفويض. الحسابات المميزة هي حسابات أعضاء في مجموعة متميزة مثل مسؤولي المجال ومسؤولي المخطط وما إلى ذلك. 

  • مسؤولو المجال
  • مسؤولو المؤسسة
  • حسابات الخدمة ذات الامتيازات المرتفعة

تأثير المستخدم

إذا تم تعطيل العلامة الحساسة، يمكن للمهاجمين استغلال تفويض Kerberos لإساءة استخدام بيانات اعتماد الحساب المميزة، مما يؤدي إلى وصول غير مصرح به وحركة جانبية وخروقات أمنية محتملة على مستوى الشبكة.

تمكين الإعداد هذا الحساب حساس ولا يمكن تفويضه لا يؤثر على قدرة الحساب على تسجيل الدخول أو الأذونات المعينة له. ينطبق التقييد فقط على سيناريوهات التفويض، مثل تفويض Kerberos المقيد أو غير المقيد. لا ينبغي تفويض الحسابات المتميزة مثل مسؤولي المجال أو مسؤولي المؤسسة، لأن هذا يشكل خطرا أمنيا كبيرا. يساعد تمكين هذا الإعداد على منع هجمات تفويض Kerberos من خلال ضمان عدم إمكانية انتحال شخصية هذه الحسابات.

توصية الأمان

نوصي بتمكين هذا الإعداد من أجل:

حسابات خدمة مسؤولي المجال للمؤسسات ذات الامتيازات المرتفعة

تجنب تطبيق هذا الإعداد على الحسابات التي تتطلب التفويض لأغراض تجارية مشروعة ما لم تتم إعادة تصميم نموذج التفويض.

تنفيذ

  1. راجع قائمة الكيانات المكشوفة لاكتشاف أي من حساباتك المميزة لا تحتوي على علامة التكوين "هذا الحساب حساس ولا يمكن تفويضه."
  2. اتخاذ الإجراء المناسب بشأن هذه الحسابات:

  • حسابات المستخدمين:

    • انتقل إلى علامة التبويب >حساباتخيارات الحساب.
    • حدد الحساب حساس ولا يمكن تفويضه. وهذا يمنع المستخدمين من الوصول إلى الحساب ومعالجة إعدادات النظام.

    لقطة شاشة لملف تعريف المستخدم.

  • حسابات الأجهزة:
    النهج الأكثر أمانا هو استخدام برنامج نصي PowerShell لتكوين الجهاز لمنع استخدامه في أي سيناريو تفويض، ما يضمن عدم إمكانية إعادة توجيه بيانات الاعتماد على هذا الجهاز للوصول إلى خدمات أخرى.

    $name = "ComputerA" 
Get-ADComputer -Identity $name |
Set-ADAccountControl -AccountNotDelegated:$true

    خيار آخر هو تعيين السمة UserAccountControl إلى NOT_DELEGATED = 0x100000 ضمن علامة التبويب محرر السمة للجهاز المكشوف.

    على سبيل المثال:

    لقطة شاشة لملف تعريف الجهاز.

الكيانات التي تعرض بيانات الاعتماد في نص واضح

الوصف

يراقب تقييم الأمان هذا نسبة استخدام الشبكة الخاصة بك لأي كيانات تعرض بيانات الاعتماد في نص واضح ويحذرك من مخاطر التعرض الحالية (الكيانات الأكثر تأثيرا) في مؤسستك بالمعالجة المقترحة.

تأثير المستخدم

الكيانات التي تعرض بيانات الاعتماد في نص واضح محفوفة بالمخاطر ليس فقط للكيان المكشوف المعني، ولكن لمؤسستك بأكملها.

يعود الخطر المتزايد إلى أن نسبة استخدام الشبكة غير آمنة مثل الربط البسيط ل LDAP عرضة للغاية للاعتراض بواسطة هجمات المهاجم في الوسط. تؤدي هذه الأنواع من الهجمات إلى أنشطة ضارة بما في ذلك التعرض لبيانات الاعتماد، حيث يمكن للمهاجم الاستفادة من بيانات الاعتماد لأغراض ضارة.

تنفيذ

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions.

    منع تعرض بيانات اعتماد النص الواضح.

    راجع أهم الكيانات المتأثرة وأنشئ خطة عمل.

  2. ابحث عن سبب استخدام هذه الكيانات ل LDAP في نص واضح.

  3. معالجة المشكلات وإيقاف التعرض.

  4. بعد تأكيد المعالجة، نوصيك بمطالبة توقيع LDAP على مستوى وحدة التحكم بالمجال. لمعرفة المزيد حول توقيع خادم LDAP، راجع متطلبات توقيع خادم LDAP لوحدة التحكم بالمجال.

ملاحظة

يتم تحديث هذا التقييم في الوقت الفعلي تقريبا. تظهر التقارير الكيانات المتأثرة من آخر 30 يوما. بعد ذلك الوقت، ستتم إزالة الكيانات التي لم تعد متأثرة من قائمة الكيانات المكشوفة.

استخدام Microsoft LAPS

الوصف

يوفر "حل كلمة مرور المسؤول المحلي" (LAPS) من Microsoft إدارة كلمات مرور حساب المسؤول المحلي لأجهزة الكمبيوتر المرتبطة بالمجال. يتم عشوائية كلمات المرور وتخزينها في Active Directory (AD)، محمية بقوائم التحكم بالوصول، بحيث يمكن للمستخدمين المؤهلين فقط قراءتها أو طلب إعادة تعيينها.

يدعم تقييم الأمان هذا Microsoft LAPS القديموWindows LAPS.

تأثير المستخدم

يوفر LAPS حلا لمسألة استخدام حساب محلي مشترك مع كلمة مرور متطابقة على كل كمبيوتر في مجال. يحل LAPS هذه المشكلة عن طريق تعيين كلمة مرور عشوائية مختلفة تم تدويرها لحساب المسؤول المحلي الشائع على كل كمبيوتر في المجال.

يبسط LAPS إدارة كلمات المرور مع مساعدة العملاء على تنفيذ المزيد من الدفاعات الموصى بها ضد الهجمات الإلكترونية. على وجه الخصوص، يخفف الحل من خطر التصعيد الجانبي الذي ينتج عندما يستخدم العملاء نفس الحساب المحلي الإداري ومجموعة كلمات المرور على أجهزة الكمبيوتر الخاصة بهم. يخزن LAPS كلمة المرور لحساب المسؤول المحلي لكل كمبيوتر في AD، مؤمنا في سمة سرية في كائن AD المقابل للكمبيوتر. يمكن للكمبيوتر تحديث بيانات كلمة المرور الخاصة به في AD، ويمكن لمسؤولي المجال منح حق الوصول للقراءة للمستخدمين أو المجموعات المعتمدة، مثل مسؤولي مكتب المساعدة في محطة العمل.

ملاحظة

في بعض الحالات، قد لا يزال Microsoft Entra الأجهزة المنضمة المختلطة تظهر في تقييم وضع الأمان حتى إذا تم تكوين LAPS في Microsoft Entra ID. يمكن أن يكون ذلك بسبب كيفية تطبيق النهج أو كيفية إبلاغ الجهاز عن حالته. إذا حدث ذلك، نقترح مراجعة تكوين LAPS في Microsoft Entra ID للتأكد من إعداد كل شيء كما هو متوقع. يمكنك العثور على مزيد من التفاصيل هنا.

تنفيذ

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لاكتشاف أي من المجالات التي تحتوي على بعض (أو جميع) أجهزة Windows المتوافقة غير المحمية بواسطة LAPS، أو التي لم يتم تغيير كلمة المرور المدارة ل LAPS الخاصة بها في آخر 60 يوما.

    لقطة شاشة توضح المجالات التي تحتوي على أجهزة غير محمية بواسطة LAPS.

  2. بالنسبة للمجالات المحمية جزئيا، حدد الصف ذي الصلة لعرض قائمة الأجهزة غير المحمية بواسطة LAPS في هذا المجال.

    لقطة شاشة تعرض قائمة الأجهزة غير المحمية بواسطة LAPS في مجال محدد.

  3. اتخذ الإجراء المناسب على هذه الأجهزة عن طريق تنزيل Microsoft LAPS أو Windows LAPS أو تثبيته وتكوينه أو استكشاف الأخطاء وإصلاحها.

    لقطة شاشة تعرض خطوات المعالجة للأجهزة غير المحمية بواسطة LAPS.

إزالة كلمات المرور القابلة للاكتشاف في سمات حساب Active Directory (معاينة)

الوصف

غالبا ما يتم تجاهل بعض سمات النص الحر أثناء التصلب ولكن يمكن قراءتها من قبل أي مستخدم مصادق عليه في المجال. عند تخزين بيانات الاعتماد أو الأدلة عن طريق الخطأ في هذه السمات، يمكن للمهاجمين إساءة استخدامها للتنقل أفقيا عبر البيئة أو تصعيد الامتيازات.

يبحث المهاجمون عن مسارات منخفضة الاحتكاك لتوسيع الوصول. تمثل كلمات المرور المكشوفة في هذه السمات فوزا سهلا لأنه:

  • السمات غير مقيدة بالوصول.

  • لا تتم مراقبتها بشكل افتراضي.

  • فهي توفر للمهاجمين السياقيين الذين يمكنهم استغلال الحركة الجانبية وتصعيد الامتيازات.

تؤدي إزالة بيانات الاعتماد المكشوفة من هذه السمات إلى تقليل مخاطر اختراق الهوية وتعزيز الوضع الأمني لمؤسستك.

ملاحظة

يمكن أن تتضمن النتائج إيجابيات خاطئة. تحقق دائما من صحة النتائج قبل اتخاذ إجراء.

يكتشف Microsoft Defender for Identity التعرض المحتمل لبيانات الاعتماد في Active Directory عن طريق تحليل سمات النص الحر شائعة الاستخدام. يتضمن ذلك البحث عن تنسيقات كلمات المرور الشائعة والتلميحات 'description''info'والحقول 'adminComment' والقرائن السياقية الأخرى التي قد تشير إلى وجود إساءة استخدام بيانات الاعتماد. تستخدم هذه التوصية تحليلا مدعوما من GenAI لسمات Active Directory للكشف عن:

  • كلمات مرور النص العادي أو الاختلافات. على سبيل المثال، 'Password=Summer2025!'

  • أنماط بيانات الاعتماد أو إعادة تعيين التلميحات أو معلومات الحساب الحساسة.

  • مؤشرات أخرى تشير إلى إساءة استخدام تشغيلية لحقول الدليل.

تظهر التطابقات المكتشفة في درجة الأمانوتقرير تقييم الأمان للمراجعة والمعالجة.

تنفيذ

لمعالجة تقييم الأمان هذا، اتبع الخطوات التالية:

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لإزالة كلمات المرور القابلة للاكتشاف في سمات حساب Active Directory.

  2. راجع الإدخالات المكشوفة في تقرير الأمان. تحديد أي محتوى حقل يتضمن:

    • كلمات مرور نص واضح

    • إعادة تعيين التعليمات أو أدلة بيانات الاعتماد

    • معلومات الأعمال أو النظام الحساسة

  3. إزالة المعلومات الحساسة من حقول السمات المدرجة باستخدام أدوات إدارة الدليل القياسية (على سبيل المثال، PowerShell أو ADSI Edit).

  4. إزالة المعلومات الحساسة بالكامل. لا تخفي القيمة فقط. لا يزال التعتيم الجزئي (على سبيل المثال، P@ssw***) يقدم أدلة مفيدة للمهاجمين.

إزالة حسابات الخدمة القديمة (معاينة)

الوصف

تسرد هذه التوصية حسابات خدمة Active Directory التي تم اكتشافها على أنها قديمة خلال ال 90 يوما الماضية.

تأثير المستخدم

تنشئ حسابات الخدمة غير المستخدمة مخاطر أمنية كبيرة، حيث يمكن أن يحمل بعضها امتيازات مرتفعة. إذا تمكن المهاجمون من الوصول، يمكن أن تكون النتيجة تلفا كبيرا. قد تحتفظ حسابات الخدمة القديمة بأذونات عالية أو قديمة. عند اختراقها، فإنها توفر للمهاجمين نقاط دخول سرية إلى الأنظمة الهامة، ما يمنح وصولا أكثر بكثير من حساب مستخدم قياسي.

يؤدي هذا التعرض إلى العديد من المخاطر:

  • الوصول غير المصرح به إلى التطبيقات والبيانات الحساسة.

  • الحركة الجانبية عبر الشبكة دون الكشف.

تنفيذ

لاستخدام تقييم الأمان هذا بفعالية، اتبع الخطوات التالية:

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions  لإزالة حساب الخدمة القديم.

  2. راجع قائمة الكيانات المكشوفة لاكتشاف أي من حسابات الخدمة الخاصة بك قديمة ولم تقم بأي نشاط تسجيل دخول في آخر 90 يوما.

  3. اتخذ الإجراءات المناسبة على هذه الكيانات عن طريق إزالة حساب الخدمة. على سبيل المثال:

    • تعطيل الحساب: منع أي استخدام عن طريق تعطيل الحساب المحدد على أنه مكشوف.

    • مراقبة التأثير: انتظر عدة أسابيع وراقب المشكلات التشغيلية، مثل انقطاع الخدمة أو الأخطاء.

    • حذف الحساب: إذا لم تتم ملاحظة أي مشكلات، فاحذف الحساب وقم بإزالة وصوله بالكامل.

تفويض Kerberos غير آمن

الوصف

تفويض Kerberos هو إعداد تفويض يسمح للتطبيقات بطلب بيانات اعتماد وصول المستخدم النهائي للوصول إلى الموارد نيابة عن المستخدم الأصلي.

تأثير المستخدم

تفويض Kerberos غير آمن يمنح الكيان القدرة على انتحال هوية أي خدمة أخرى مختارة. على سبيل المثال، تخيل أن لديك موقع IIS على الويب، ويتم تكوين حساب تجمع التطبيقات بتفويض غير مقيد. يحتوي موقع موقع IIS على موقع ويب أيضا على مصادقة Windows ممكنة، مما يسمح بمصادقة Kerberos الأصلية، ويستخدم الموقع SQL Server الخلفية لبيانات الأعمال. باستخدام حساب مسؤول المجال الخاص بك، يمكنك الاستعراض وصولا إلى موقع IIS على الويب والمصادقة عليه. يمكن لموقع الويب، باستخدام التفويض غير المقيد، الحصول على تذكرة خدمة من وحدة تحكم المجال إلى خدمة SQL، والقيام بذلك باسمك.

المشكلة الرئيسية مع تفويض Kerberos هي أنك بحاجة إلى الوثوق في التطبيق للقيام بالشيء الصحيح دائما. يمكن للمستخدمين الضارين بدلا من ذلك إجبار التطبيق على القيام بالشيء الخطأ. إذا قمت بتسجيل الدخول كمسؤول مجال، يمكن للموقع إنشاء تذكرة إلى أي خدمات أخرى يرغب فيها، بالنيابة عنك، مسؤول المجال. على سبيل المثال، يمكن للموقع اختيار وحدة تحكم بالمجال، وإجراء تغييرات على مجموعة مسؤولي المؤسسة . وبالمثل، يمكن للموقع الحصول على تجزئة حساب KRBTGT، أو تنزيل ملف مثير للاهتمام من قسم الموارد البشرية. إن الخطر واضح والاحتمالات التي تنطوي على تفويض غير آمن لا نهاية لها تقريبا.

فيما يلي وصف للمخاطر التي تشكلها أنواع التفويض المختلفة:

  • تفويض غير مقيد: يمكن إساءة استخدام أي خدمة إذا كان أحد إدخالات التفويض الخاصة به حساسا.
  • التفويض المقيد: يمكن إساءة استخدام الكيانات المقيدة إذا كان أحد إدخالات التفويض الخاصة بها حساسا.
  • التفويض المقيد المستند إلى الموارد (RBCD): يمكن إساءة استخدام الكيانات المقيدة المستندة إلى الموارد إذا كان الكيان نفسه حساسا.

تنفيذ

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لاكتشاف أي من كيانات وحدة التحكم غير المجالية التي تم تكوينها لتفويض Kerberos غير آمن.

    لقطة شاشة تعرض تقييم أمان تفويض Kerberos غير آمن.

  2. اتخاذ الإجراء المناسب بشأن المستخدمين المعرضين للخطر، مثل إزالة السمة غير المقيدة الخاصة بهم أو تغييرها إلى تفويض مقيد أكثر أمانا.

  3. استخدم المعالجة المناسبة لنوع التفويض الخاص بك.

  4. تعطيل التفويض أو استخدام أحد أنواع تفويض Kerberos المقيد (KCD) التالية:

تفويض غير مقيد

  1. حدد الثقة في هذا الكمبيوتر للتفويض إلى خدمات محددة فقط. لقطة شاشة تعرض خيار الوثوق بهذا الكمبيوتر للتفويض إلى خدمات محددة فقط.

  2. حدد الخدمات التي يمكن لهذا الحساب تقديم بيانات اعتماد مفوضة إليها.

تفويض مقيد

تقييد الخدمات التي يمكن أن ينتحلها هذا الحساب.

  1. راجع المستخدمين الحساسين المدرجين في التوصيات وأزلهم من الخدمات التي يمكن للحساب المتأثر تقديم بيانات اعتماد مفوضة إليها.

    لقطة شاشة تعرض قائمة بالكيانات المكشوفة مع التوصية بتعديل تفويض kerberos غير آمن لمنع انتحال الهوية.

التفويض المقيد المستند إلى الموارد (RBCD)

يقيد التفويض المقيد المستند إلى الموارد الكيانات التي يمكنها انتحال شخصية هذا الحساب. يتم تكوين KCD المستند إلى الموارد باستخدام PowerShell.

  1. يمكنك استخدام Cmdlets Set-ADComputer أو Set-ADUser ، اعتمادا على ما إذا كان حساب انتحال الهوية هو حساب كمبيوتر أو حساب مستخدم / حساب خدمة.

  2. راجع المستخدمين الحساسين المدرجين في التوصيات وأزلهم من المورد. لمزيد من المعلومات حول تكوين RBCD، راجع تكوين تفويض Kerberos المقيد (KCD) في خدمات مجال Microsoft Entra.

سمات محفوظات SID غير آمنة

الوصف

محفوظات SID هي سمة تدعم سيناريوهات الترحيل. يحتوي كل حساب مستخدم على معرف أمان مقترن (SID) يستخدم لتعقب أساس الأمان والوصول الذي يمتلكه الحساب عند الاتصال بالموارد. تتيح محفوظات SID إمكانية الوصول إلى حساب آخر بشكل فعال إلى آخر، وهي مفيدة لضمان الاحتفاظ للمستخدمين بالوصول عند نقلهم (ترحيلهم) من مجال إلى آخر.

يتحقق التقييم من الحسابات ذات سمات محفوظات SID التي Microsoft Defender for Identity ملفات التعريف لتكون محفوفة بالمخاطر.

تأثير المستخدم

تترك المؤسسات التي تفشل في تأمين سمات حسابها الباب مفتوحا أمام الجهات الفاعلة الضارة.

غالبا ما يبحث المستخدمون الضارون، مثل اللصوص، عن أسهل وأهدأ طريقة في أي بيئة. الحسابات التي تم تكوينها باستخدام سمة محفوظات SID غير آمنة هي نوافذ من الفرص للمهاجمين ويمكن أن تعرض المخاطر.

على سبيل المثال، يمكن أن يحتوي حساب غير منطقي في مجال على Enterprise مسؤول SID في محفوظات SID الخاصة به من مجال آخر في المجال الجذر لـ Active Directory، وبالتالي "رفع" الوصول لحساب المستخدم إلى مجال فعال مسؤول في جميع المجالات في الغابة. إذا كان لديك ثقة غابة دون تمكين تصفية SID (تسمى أيضا العزل)، فمن الممكن إدخال SID من مجموعة تفرعات أخرى وستتم إضافته إلى الرمز المميز للمستخدم عند مصادقته واستخدامه لتقييمات الوصول.

تنفيذ

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لاكتشاف أي من حساباتك يحتوي على سمة محفوظات SID غير آمنة.

    لقطة شاشة تعرض إجراءات التحسين لإزالة سمات محفوظات SID غير آمنة.

  2. اتخذ الإجراء المناسب لإزالة سمة محفوظات SID من الحسابات باستخدام PowerShell باستخدام الخطوات التالية:

    1. حدد SID في السمة SIDHistory على الحساب.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory

    2. قم بإزالة السمة SIDHistory باستخدام معرف الأمان المحدد سابقا.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}

سمات الحساب غير آمنة

الوصف

تراقب Microsoft Defender for Identity بيئتك باستمرار لتحديد الحسابات ذات قيم السمات التي تعرض مخاطر الأمان، وتقارير عن هذه الحسابات لمساعدتك في حماية بيئتك.

تأثير المستخدم

تترك المؤسسات التي تفشل في تأمين سمات حسابها الباب مفتوحا أمام الجهات الفاعلة الضارة.

غالبا ما يبحث المستخدمون الضارون، مثل اللصوص، عن أسهل وأهدأ طريقة في أي بيئة. الحسابات التي تم تكوينها باستخدام سمات غير آمنة هي نوافذ فرصة للمهاجمين ويمكن أن تعرض المخاطر.

على سبيل المثال، إذا تم تمكين السمة PasswordNotRequired ، يمكن للمهاجم الوصول بسهولة إلى الحساب. هذا محفوف بالمخاطر بشكل خاص إذا كان الحساب لديه حق وصول متميز إلى موارد أخرى.

تنفيذ

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لاكتشاف أي من حساباتك له سمات غير آمنة.

    لقطة شاشة تعرض قائمة بسمات الحساب غير آمنة التي تحتاج إلى حل.

  2. اتخذ الإجراء المناسب على حسابات المستخدمين هذه عن طريق تعديل السمات ذات الصلة أو إزالتها.

  3. استخدم المعالجة المناسبة للسمة ذات الصلة كما هو موضح في الجدول التالي:

الإجراء الموصى به الاصلاح السبب
إزالة لا تتطلب المصادقة المسبقة ل Kerberos إزالة هذا الإعداد من خصائص الحساب في Active Directory (AD) تتطلب إزالة هذا الإعداد مصادقة مسبقة من Kerberos للحساب مما يؤدي إلى تحسين الأمان.
إزالة كلمة مرور المتجر باستخدام تشفير قابل للعكس إزالة هذا الإعداد من خصائص الحساب في AD تؤدي إزالة هذا الإعداد إلى منع فك تشفير كلمة مرور الحساب بسهولة.
إزالة كلمة المرور غير مطلوبة إزالة هذا الإعداد من خصائص الحساب في AD تتطلب إزالة هذا الإعداد استخدام كلمة مرور مع الحساب وتساعد على منع الوصول غير المصرح به إلى الموارد.
إزالة كلمة المرور المخزنة بتشفير ضعيف إعادة تعيين كلمة مرور الحساب يتيح تغيير كلمة مرور الحساب استخدام خوارزميات تشفير أقوى لحمايتها.
تمكين دعم تشفير Kerberos AES تمكين ميزات AES على خصائص الحساب في AD يساعد تمكين AES128_CTS_HMAC_SHA1_96 أو AES256_CTS_HMAC_SHA1_96 على الحساب على منع استخدام شفرات تشفير أضعف لمصادقة Kerberos.
إزالة استخدام أنواع تشفير Kerberos DES لهذا الحساب إزالة هذا الإعداد من خصائص الحساب في AD تتيح إزالة هذا الإعداد استخدام خوارزميات تشفير أقوى لكلمة مرور الحساب.
إزالة اسم الخدمة الأساسي (SPN) إزالة هذا الإعداد من خصائص الحساب في AD عند تكوين حساب مستخدم مع مجموعة SPN، فهذا يعني أن الحساب قد تم إقرانه ب SPN واحد أو أكثر. يحدث هذا عادة عند تثبيت خدمة أو تسجيلها للتشغيل ضمن حساب مستخدم معين، ويتم إنشاء SPN لتحديد مساحة عمل الخدمة لمصادقة Kerberos بشكل فريد. تظهر هذه التوصية فقط للحسابات الحساسة.
إعادة تعيين كلمة المرور أثناء إزالة إعداد SmartcardRequired إعادة تعيين كلمة مرور الحساب يضمن تغيير كلمة مرور الحساب بعد إزالة علامة SmartcardRequired UAC تعيينها ضمن نهج الأمان الحالية. يساعد هذا في منع التعرض المحتمل لكلمات المرور التي تم إنشاؤها عندما كان فرض البطاقة الذكية لا يزال نشطا.

  1. استخدم علامة UserAccountControl (UAC) لمعالجة ملفات تعريف حساب المستخدم. لمزيد من المعلومات، اطلع على:

الخطوات التالية

  • Last updated on