Sicherheitsbewertung: Unsichere Kontoattribute
Was sind unsichere Kontoattribute?
Microsoft Defender for Identity überwacht Ihre Umgebung kontinuierlich, um Konten mit Attributwerten zu identifizieren, die ein Sicherheitsrisiko darstellen, sowie Berichte zu diesen Konten, um Sie beim Schutz Ihrer Umgebung zu unterstützen.
Welches Risiko stellen unsichere Kontoattribute dar?
Organisationen, die ihre Kontoattribute nicht sichern, lassen die Tür für böswillige Akteure entsperrt.
Böswillige Schauspieler, ähnlich wie Diebe, suchen oft nach dem einfachsten und leisesten Weg in jede Umgebung. Konten, die mit unsicheren Attributen konfiguriert sind, sind Fenster der Chance für Angreifer und können Risiken offenlegen.
Wenn beispielsweise das PasswordNotRequired-Attribut aktiviert ist, kann ein Angreifer problemlos auf das Konto zugreifen. Dies ist besonders riskant, wenn das Konto privilegierten Zugriff auf andere Ressourcen hat.
Gewusst wie diese Sicherheitsbewertung verwenden?
Überprüfen Sie die empfohlene Aktion, https://security.microsoft.com/securescore?viewid=actions um zu ermitteln, welche Ihrer Konten unsichere Attribute aufweisen.
Ergreifen Sie geeignete Maßnahmen für diese Benutzerkonten, indem Sie die relevanten Attribute ändern oder entfernen.
Wartung
Verwenden Sie die für das entsprechende Attribut geeignete Korrektur, wie in der folgenden Tabelle beschrieben.
| Empfohlene Maßnahme | Wartung | `Reason` |
|---|---|---|
| Remove Do not require Kerberos preauthentication | Diese Einstellung aus Kontoeigenschaften in Active Directory (AD) entfernen | Das Entfernen dieser Einstellung erfordert eine Kerberos-Vorauthentifizierung für das Konto, was zu einer verbesserten Sicherheit führt. |
| Entfernen des Speicherkennworts mit umkehrbarer Verschlüsselung | Diese Einstellung aus Kontoeigenschaften in AD entfernen | Durch das Entfernen dieser Einstellung wird die einfache Entschlüsselung des Kennworts des Kontos verhindert. |
| Kennwort entfernen nicht erforderlich | Diese Einstellung aus Kontoeigenschaften in AD entfernen | Wenn Sie diese Einstellung entfernen, muss ein Kennwort mit dem Konto verwendet werden und verhindert den nicht autorisierten Zugriff auf Ressourcen. |
| Kennwort entfernen, das mit schwacher Verschlüsselung gespeichert ist | Zurücksetzen des Kontokennworts | Durch das Ändern des Kennworts des Kontos können stärkere Verschlüsselungsalgorithmen zum Schutz verwendet werden. |
| Aktivieren der Kerberos-AES-Verschlüsselungsunterstützung | Aktivieren von AES-Features für die Kontoeigenschaften in AD | Das Aktivieren von AES128_CTS_HMAC_SHA1_96 oder AES256_CTS_HMAC_SHA1_96 für das Konto trägt dazu bei, die Verwendung schwächerer Verschlüsselungschiffre für die Kerberos-Authentifizierung zu verhindern. |
| Verwenden von Kerberos DES-Verschlüsselungstypen für dieses Konto entfernen | Diese Einstellung aus Kontoeigenschaften in AD entfernen | Durch das Entfernen dieser Einstellung können stärkere Verschlüsselungsalgorithmen für das Kennwort des Kontos verwendet werden. |
| Entfernen eines Dienstprinzipalnamens (Service Principal Name, SPN) | Diese Einstellung aus Kontoeigenschaften in AD entfernen | Wenn ein Benutzerkonto mit einem SPN-Satz konfiguriert ist, bedeutet dies, dass das Konto einem oder mehreren SPNs zugeordnet wurde. Dies tritt in der Regel auf, wenn ein Dienst installiert oder registriert wird, der unter einem bestimmten Benutzerkonto ausgeführt werden soll, und der SPN wird erstellt, um den Dienstarbeitsbereich für die Kerberos-Authentifizierung eindeutig zu identifizieren. Diese Empfehlung wurde nur für vertrauliche Konten angezeigt. |
Verwenden Sie das UserAccountControl-Flag , um Benutzerkontenprofile zu bearbeiten. Weitere Informationen finden Sie unter:
- Dokumentation zur Problembehandlung für Windows Server
- Benutzereigenschaften – Abschnitt "Account"
- Introduction to Active Directory Administrative Center Enhancements (Level 100)
- Active Directory-Verwaltungscenter
Hinweis
Während Bewertungen in nahezu Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, dauert der Status möglicherweise noch Zeit, bis sie als abgeschlossen gekennzeichnet ist.