Evaluación de seguridad: atributos de cuenta no seguros
¿Qué son los atributos de cuenta no seguros?
Microsoft Defender for Identity supervisa continuamente su entorno para identificar cuentas con valores de atributo que exponen un riesgo de seguridad e informa sobre estas cuentas para ayudarle a proteger su entorno.
¿Qué riesgo suponen los atributos de cuenta no seguros?
Las organizaciones que no protegen sus atributos de cuenta dejan la puerta desbloqueada para actores malintencionados.
Actores malintencionados, muy parecidos a los ladrones, a menudo buscan la forma más fácil y silenciosa en cualquier entorno. Las cuentas configuradas con atributos no seguros son ventanas de oportunidad para los atacantes y pueden exponer riesgos.
Por ejemplo, si el atributo PasswordNotRequired está habilitado, un atacante puede acceder fácilmente a la cuenta. Esto es especialmente arriesgado si la cuenta tiene acceso con privilegios a otros recursos.
Cómo usar esta evaluación de seguridad?
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar cuáles de las cuentas tienen atributos no seguros.
Realice las acciones adecuadas en esas cuentas de usuario modificando o quitando los atributos pertinentes.
Corrección
Use la corrección adecuada para el atributo pertinente, tal como se describe en la tabla siguiente.
| Acción recomendada | Corrección | Motivo |
|---|---|---|
| Quitar No requerir autenticación previa de Kerberos | Quitar esta configuración de las propiedades de la cuenta en Active Directory (AD) | La eliminación de esta configuración requiere una autenticación previa de Kerberos para la cuenta, lo que da lugar a una mayor seguridad. |
| Eliminación de la contraseña del almacén mediante cifrado reversible | Quitar esta configuración de las propiedades de la cuenta en AD | Al quitar esta configuración, se evita el descifrado sencillo de la contraseña de la cuenta. |
| Quitar contraseña no necesaria | Quitar esta configuración de las propiedades de la cuenta en AD | La eliminación de esta configuración requiere que se use una contraseña con la cuenta y ayuda a evitar el acceso no autorizado a los recursos. |
| Eliminación de la contraseña almacenada con cifrado débil | Restablecer la contraseña de la cuenta | Cambiar la contraseña de la cuenta permite usar algoritmos de cifrado más seguros para su protección. |
| Habilitación de la compatibilidad con el cifrado AES de Kerberos | Habilitación de las características de AES en las propiedades de la cuenta en AD | Habilitar AES128_CTS_HMAC_SHA1_96 o AES256_CTS_HMAC_SHA1_96 en la cuenta ayuda a evitar el uso de cifrados más débiles para la autenticación Kerberos. |
| Quitar Usar tipos de cifrado DES kerberos para esta cuenta | Quitar esta configuración de las propiedades de la cuenta en AD | Al quitar esta configuración, se habilita el uso de algoritmos de cifrado más seguros para la contraseña de la cuenta. |
| Quitar un nombre de entidad de seguridad de servicio (SPN) | Quitar esta configuración de las propiedades de la cuenta en AD | Cuando una cuenta de usuario está configurada con un conjunto de SPN, significa que la cuenta se ha asociado a uno o varios SPN. Esto suele ocurrir cuando se instala o registra un servicio para ejecutarse en una cuenta de usuario específica y el SPN se crea para identificar de forma única el área de trabajo de servicio para la autenticación Kerberos. Esta recomendación solo se muestra para las cuentas confidenciales. |
Use la marca UserAccountControl para manipular perfiles de cuenta de usuario. Para más información, vea:
- Documentación para la solución de problemas de Windows Server.
- Propiedades de usuario: sección cuenta
- Introduction to Active Directory Administrative Center Enhancements (Level 100)
- Centro de Administración istration de Active Directory
Nota:
Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza en unos minutos a partir de la implementación de las recomendaciones, el estado puede tardar tiempo hasta que se marque como Completado.