Posouzení zabezpečení: Nezabezpečené atributy účtu
Co jsou nezabezpečené atributy účtu?
Microsoft Defender for Identity nepřetržitě monitoruje vaše prostředí, aby identifikoval účty s hodnotami atributů, které zpřístupňují bezpečnostní riziko, a sestavy těchto účtů, které vám pomůžou při ochraně vašeho prostředí.
Jaké riziko představují nezabezpečené atributy účtu?
Organizace, které nezabezpečí atributy účtu, ponechá dveře odemknuté pro škodlivé aktéry.
Zlovolní aktéři, podobně jako zloději, často hledají nejjednodušší a nejtišší cestu do jakéhokoli prostředí. Účty nakonfigurované s nezabezpečenými atributy jsou okna příležitostí pro útočníky a můžou vystavit rizika.
Pokud je například povolen atribut PasswordNotRequired , může útočník snadno získat přístup k účtu. To je zvlášť rizikové, pokud má účet privilegovaný přístup k jiným prostředkům.
Návody použít toto posouzení zabezpečení?
Projděte si doporučenou akci https://security.microsoft.com/securescore?viewid=actions a zjistěte, které z vašich účtů mají nezabezpečené atributy.
Upravte nebo odeberte příslušné atributy u těchto uživatelských účtů.
Náprava
Použijte nápravu odpovídající příslušnému atributu, jak je popsáno v následující tabulce.
| Doporučená akce | Náprava | Důvod |
|---|---|---|
| Odebrání nevyžaduje předběžné ověření protokolu Kerberos. | Odebrat toto nastavení z vlastností účtu ve službě Active Directory (AD) | Odebrání tohoto nastavení vyžaduje předběžné ověřování Kerberos pro účet, což vede k lepšímu zabezpečení. |
| Odebrání hesla k uložení s využitím reverzibilního šifrování | Odebrat toto nastavení z vlastností účtu ve službě AD | Odebráním tohoto nastavení zabráníte snadnému dešifrování hesla účtu. |
| Nepožaduje se heslo. | Odebrat toto nastavení z vlastností účtu ve službě AD | Odebrání tohoto nastavení vyžaduje použití hesla s účtem a pomáhá zabránit neoprávněnému přístupu k prostředkům. |
| Odebrání hesla uloženého se slabým šifrováním | Resetování hesla účtu | Změna hesla účtu umožňuje použít silnější šifrovací algoritmy pro jeho ochranu. |
| Povolení podpory šifrování AES protokolu Kerberos | Povolení funkcí AES ve vlastnostech účtu ve službě AD | Povolení AES128_CTS_HMAC_SHA1_96 nebo AES256_CTS_HMAC_SHA1_96 na účtu pomáhá zabránit použití slabších šifrovacích šifer pro ověřování protokolem Kerberos. |
| Odebrání typů šifrování Kerberos DES pro tento účet | Odebrat toto nastavení z vlastností účtu ve službě AD | Odebráním tohoto nastavení povolíte použití silnějších šifrovacích algoritmů pro heslo účtu. |
| Odebrání hlavního názvu služby (SPN) | Odebrat toto nastavení z vlastností účtu ve službě AD | Pokud je uživatelský účet nakonfigurovaný se sadou hlavního názvu služby (SPN), znamená to, že účet je přidružený k jednomu nebo několika hlavním názvům služby (SPN). K tomu obvykle dochází v případě, že je služba nainstalovaná nebo zaregistrovaná ke spuštění pod konkrétním uživatelským účtem a hlavní název služby se vytvoří k jedinečné identifikaci pracovního prostoru služby pro ověřování protokolem Kerberos. Toto doporučení se zobrazilo pouze pro citlivé účty. |
K manipulaci s profily uživatelských účtů použijte příznak UserAccountControl. Další informace naleznete v tématu:
- Dokumentace k řešení potíží s Windows Serverem
- Vlastnosti uživatele – oddíl účtu
- Úvod do vylepšení služby Active Directory Správa istrative Center (úroveň 100)
- Centrum Správa istrace služby Active Directory
Poznámka:
I když se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit během několika minut od implementace doporučení aktualizuje, může tento stav chvíli trvat, než se označí jako Dokončeno.