Megosztás a következőn keresztül:

Biztonsági értékelés: Nem biztonságos fiókattribútumok

  • Cikk

Mik azok a nem biztonságos fiókattribútumok?

A Microsoft Defender for Identity folyamatosan figyeli a környezetet, hogy olyan attribútumértékekkel rendelkező fiókokat azonosítson, amelyek biztonsági kockázatot jelentenek, és jelentéseket készít ezekről a fiókokról, hogy segítsen a környezet védelmében.

Milyen kockázatot jelentenek a nem biztonságos fiókattribútumok?

Azok a szervezetek, amelyek nem tudják biztonságossá tenni a fiókattribútumaikat, nyitva hagyják az ajtót a rosszindulatú szereplők számára.

A rosszindulatú szereplők, hasonlóan a tolvajokhoz, gyakran keresik a legegyszerűbb és legcsendesebb módot bármilyen környezetbe. A nem biztonságos attribútumokkal konfigurált fiókok lehetőséget jelentenek a támadók számára, és kockázatot jelenthetnek.

Ha például a PasswordNotRequired attribútum engedélyezve van, a támadók könnyen hozzáférhetnek a fiókhoz. Ez különösen kockázatos, ha a fiók kiemelt hozzáféréssel rendelkezik más erőforrásokhoz.

Hogyan használni ezt a biztonsági értékelést?

  1. Tekintse át az ajánlott műveletet https://security.microsoft.com/securescore?viewid=actions , amelyből megtudhatja, hogy melyik fiókja rendelkezik nem biztonságos attribútumokkal.

    Review top impacted entities and create an action plan.

  2. A megfelelő attribútumok módosításával vagy eltávolításával megfelelő műveletet hajthat végre ezeken a felhasználói fiókokon.

Szervizelés

Használja a megfelelő attribútumnak megfelelő szervizelést az alábbi táblázatban leírtak szerint.

Recommended action Szervizelés Reason
Eltávolítás: Nincs szükség Kerberos-előhitelesítésre A beállítás eltávolítása az Active Directory (AD) fióktulajdonságaiból A beállítás eltávolításához Kerberos-előhitelesítés szükséges a fiókhoz, ami nagyobb biztonságot eredményez.
Store-jelszó eltávolítása reverzibilis titkosítással A beállítás eltávolítása az AD-fióktulajdonságokból A beállítás eltávolítása megakadályozza a fiók jelszavának egyszerű visszafejtését.
Jelszó eltávolítása nem kötelező A beállítás eltávolítása az AD-fióktulajdonságokból A beállítás eltávolításához jelszó szükséges a fiókhoz, és segít megelőzni az erőforrásokhoz való jogosulatlan hozzáférést.
Gyenge titkosítással tárolt jelszó eltávolítása A fiók jelszavának alaphelyzetbe állítása A fiók jelszavának módosítása erősebb titkosítási algoritmusokat tesz lehetővé a védelméhez.
Kerberos AES-titkosítás támogatásának engedélyezése AES-szolgáltatások engedélyezése az AD-fióktulajdonságokon Ha engedélyezi a AES128_CTS_HMAC_SHA1_96 vagy AES256_CTS_HMAC_SHA1_96 a fiókon, megakadályozza a gyengébb titkosítási titkosítási titkosítás használatát a Kerberos-hitelesítéshez.
Kerberos DES-titkosítási típusok eltávolítása ehhez a fiókhoz A beállítás eltávolítása az AD-fióktulajdonságokból A beállítás eltávolításával erősebb titkosítási algoritmusok használhatók a fiók jelszavához.
Egyszerű szolgáltatásnév (SPN) eltávolítása A beállítás eltávolítása az AD-fióktulajdonságokból Ha egy felhasználói fiók spN-készlettel van konfigurálva, az azt jelenti, hogy a fiók egy vagy több egyszerű szolgáltatásnévvel lett társítva. Ez általában akkor fordul elő, ha egy szolgáltatás telepítve van vagy regisztrálva van egy adott felhasználói fiókban való futtatáshoz, és a rendszer létrehozza az egyszerű szolgáltatásnevet a Kerberos-hitelesítés szolgáltatás-munkaterületének egyedi azonosításához. Ez a javaslat csak a bizalmas fiókok esetében jelent meg.

Használja a UserAccountControl jelölőt a felhasználói fiókprofilok manipulálásához. For more information, see:

Megjegyzés:

Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.

További lépések