Biztonsági értékelés: Nem biztonságos fiókattribútumok
Mik azok a nem biztonságos fiókattribútumok?
A Microsoft Defender for Identity folyamatosan figyeli a környezetet, hogy olyan attribútumértékekkel rendelkező fiókokat azonosítson, amelyek biztonsági kockázatot jelentenek, és jelentéseket készít ezekről a fiókokról, hogy segítsen a környezet védelmében.
Milyen kockázatot jelentenek a nem biztonságos fiókattribútumok?
Azok a szervezetek, amelyek nem tudják biztonságossá tenni a fiókattribútumaikat, nyitva hagyják az ajtót a rosszindulatú szereplők számára.
A rosszindulatú szereplők, hasonlóan a tolvajokhoz, gyakran keresik a legegyszerűbb és legcsendesebb módot bármilyen környezetbe. A nem biztonságos attribútumokkal konfigurált fiókok lehetőséget jelentenek a támadók számára, és kockázatot jelenthetnek.
Ha például a PasswordNotRequired attribútum engedélyezve van, a támadók könnyen hozzáférhetnek a fiókhoz. Ez különösen kockázatos, ha a fiók kiemelt hozzáféréssel rendelkezik más erőforrásokhoz.
Hogyan használni ezt a biztonsági értékelést?
Tekintse át az ajánlott műveletet https://security.microsoft.com/securescore?viewid=actions , amelyből megtudhatja, hogy melyik fiókja rendelkezik nem biztonságos attribútumokkal.
A megfelelő attribútumok módosításával vagy eltávolításával megfelelő műveletet hajthat végre ezeken a felhasználói fiókokon.
Szervizelés
Használja a megfelelő attribútumnak megfelelő szervizelést az alábbi táblázatban leírtak szerint.
Recommended action | Szervizelés | Reason |
---|---|---|
Eltávolítás: Nincs szükség Kerberos-előhitelesítésre | A beállítás eltávolítása az Active Directory (AD) fióktulajdonságaiból | A beállítás eltávolításához Kerberos-előhitelesítés szükséges a fiókhoz, ami nagyobb biztonságot eredményez. |
Store-jelszó eltávolítása reverzibilis titkosítással | A beállítás eltávolítása az AD-fióktulajdonságokból | A beállítás eltávolítása megakadályozza a fiók jelszavának egyszerű visszafejtését. |
Jelszó eltávolítása nem kötelező | A beállítás eltávolítása az AD-fióktulajdonságokból | A beállítás eltávolításához jelszó szükséges a fiókhoz, és segít megelőzni az erőforrásokhoz való jogosulatlan hozzáférést. |
Gyenge titkosítással tárolt jelszó eltávolítása | A fiók jelszavának alaphelyzetbe állítása | A fiók jelszavának módosítása erősebb titkosítási algoritmusokat tesz lehetővé a védelméhez. |
Kerberos AES-titkosítás támogatásának engedélyezése | AES-szolgáltatások engedélyezése az AD-fióktulajdonságokon | Ha engedélyezi a AES128_CTS_HMAC_SHA1_96 vagy AES256_CTS_HMAC_SHA1_96 a fiókon, megakadályozza a gyengébb titkosítási titkosítási titkosítás használatát a Kerberos-hitelesítéshez. |
Kerberos DES-titkosítási típusok eltávolítása ehhez a fiókhoz | A beállítás eltávolítása az AD-fióktulajdonságokból | A beállítás eltávolításával erősebb titkosítási algoritmusok használhatók a fiók jelszavához. |
Egyszerű szolgáltatásnév (SPN) eltávolítása | A beállítás eltávolítása az AD-fióktulajdonságokból | Ha egy felhasználói fiók spN-készlettel van konfigurálva, az azt jelenti, hogy a fiók egy vagy több egyszerű szolgáltatásnévvel lett társítva. Ez általában akkor fordul elő, ha egy szolgáltatás telepítve van vagy regisztrálva van egy adott felhasználói fiókban való futtatáshoz, és a rendszer létrehozza az egyszerű szolgáltatásnevet a Kerberos-hitelesítés szolgáltatás-munkaterületének egyedi azonosításához. Ez a javaslat csak a bizalmas fiókok esetében jelent meg. |
Használja a UserAccountControl jelölőt a felhasználói fiókprofilok manipulálásához. For more information, see:
- A Windows Serverrel kapcsolatos hibaelhárítás dokumentációja.
- Felhasználói tulajdonságok – Fiókszakasz
- Bevezetés az Active Directory Rendszergazda istrative Center fejlesztéseibe (100. szint)
- Active Directory Rendszergazda istration Center
Megjegyzés:
Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.