Megosztás:

Fiókok biztonsági állapotának értékelései

Megjegyzés:

Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat egy ideig, amíg befejezettként nem lesz megjelölve.

Elavult Active Directory-fiókok eltávolítása (előzetes verzió)

Leírás

Ez a javaslat felsorolja az Active Directoryban az elavult felhasználói fiókokat, ami azt jelenti, hogy az elmúlt 90 napban egyáltalán nem jelentkeztek be.

Kizárt fiókok:

  • Szolgáltatásfiókok
  • Letiltott vagy törölt fiókok.

Felhasználóra gyakorolt hatás

Az elavult fiókok biztonsági kockázatot jelentenek, mivel aktívan nem figyelik őket, mert potenciális célpontokat biztosítanak a támadók számára. A feltört elavult fiókok jogosulatlan hozzáféréshez, a környezet oldalirányú áthelyezéséhez vagy a jogosultságok eszkalálásához használhatók. Ezek eltávolítása vagy letiltása csökkenti a szükségtelen kitettséget, és fokozza az általános biztonsági állapotot.

Végrehajtása

  1. Tekintse át a közzétett entitásokat annak megállapításához, hogy mely elavult felhasználói fiókok nem jelentkeztek be az elmúlt 90 napban.

  2. Tiltsa le a fiókot, ha az nincs használatban, vagy távolítsa el teljesen az adatmegőrzési szabályzatnak megfelelően.

  3. A monitorozási időszak után 90 napig tiltsa le és törölje a bejelentkezés nélküli felhasználói fiókokat.

  4. A korábbi alkalmazottak fiókjainak eltávolítása a jogosulatlan hozzáférés megakadályozása érdekében.

Microsoft Entra ID active directoryban (előzetes verzió) szintén jogosultsággal rendelkező kiemelt felhasználói fiókok

Leírás

Ez a javaslat felsorolja azokat a felhasználói fiókokat, amelyek Microsoft Entra ID kiemelt szerepkörökben (például globális rendszergazda) rendelkeznek, és magas jogosultsági szintű Active Directory-csoportok (például tartományi rendszergazdák, vállalati rendszergazdák) tagjai. Ezek a kettős jogosultságú fiókok jelentősen növelik a szervezet támadási felületét.

Megjegyzés:

A jelentés nem tartalmazza a vendégeket, a külső identitásokat és a Microsoft Entra ID nem szinkronizált fiókokat. A rendszer csak az Entra-azonosítóban és az Active Directoryban engedélyezett és jogosultságokkal rendelkező fiókokat tartalmazza.

Felhasználóra gyakorolt hatás

A Microsoft Entra ID és az Active Directoryban is jogosultsággal rendelkező fiókokat a támadók kihasználhatják, hogy teljes körű ellenőrzést szerezzenek a felhőbeli és a helyszíni környezetek felett. Az egyetlen fiók feltörése lehetővé teheti az oldalirányú áthelyezést, a jogosultságok eszkalálását és a bizalmas erőforrásokhoz való hozzáférést hibrid környezetekben. A kettős jogosultságú fiókok nagy értékű célok, és felgyorsíthatják a támadásokat, ha nem megfelelően kezelik őket.

Végrehajtása

  1. Tekintse át a közzétett entitások listáját annak megállapításához, hogy mely fiókok rendelkeznek kiemelt hozzáféréssel az Entra-azonosítóban és az Active Directoryban is.

  2. A fiók szervizelése az egyik vagy mindkét környezet jogosultságainak csökkentésével a legalacsonyabb jogosultság kényszerítése érdekében. Csak akkor őrizze meg a kettős jogosultságokat, ha szükséges, és dokumentálja az indoklást.

  3. Érdemes lehet elkülöníteni a felhőbeli és a helyszíni szerepköröket különböző fiókok között, vagy igény szerint biztosítani a hozzáférést a folyamatos kitettség csökkentése érdekében.

  4. A Microsoft Entra Privileged Identity Management (PIM) használatával kényszerítheti a jóváhagyási munkafolyamatokat, és korlátozhatja az emelt szintű jogosultságokat megőrző fiókokhoz való folyamatos hozzáférést.

Például:

  • A Microsoft Entra ID globális rendszergazdájának és az Active Directory tartományi Rendszergazda használó felhasználónak rendelkeznie kell az egyik szerepkörrel, vagy delegált rendszergazdai hozzáféréssel kell rendelkeznie.

  • Ha kettős jogosultságokra van szükség a kritikus műveletekhez, engedélyezze az MFA-t, szorosan monitorozza a bejelentkezéseket, és rendszeresen tekintse át a tagságokat.

Szolgáltatásfiókok azonosítása kiemelt csoportokban

Leírás

Felsorolja a környezet azon Active Directory-szolgáltatásfiókokat, amelyek emelt szintű csoportok tagjai, beleértve a közvetlen és beágyazott tagságot is.

Felhasználóra gyakorolt hatás

A szolgáltatásfiókok gyakran hosszú élettartamú hitelesítő adatokkal rendelkeznek, amelyeket alkalmazások, szkriptek vagy automatizált feladatok használnak. Ha ezek a fiókok kiemelt jogosultságú csoportok (például tartományi rendszergazdák vagy vállalati rendszergazdák) tagjai, akkor növelik a szervezet támadási felületét. Ezen fiókok egyikének feltörése széles körű rendszergazdai hozzáférést biztosíthat a támadónak a kritikus rendszerekhez és adatokhoz. Emellett, mivel a szolgáltatásfiókok nincsenek egy adott felhasználóhoz kötve, és gyakran hiányoznak az interaktív monitorozás, az ezekben a fiókokban végrehajtott rosszindulatú tevékenységek észrevétlenek lehetnek, késleltetve az észlelést és a választ.

Végrehajtása

  1. Tekintse át a közzétett entitásokat, és azonosítsa azokat az Active Directory-szolgáltatásfiókokat, amelyek kiemelt csoportok tagjai, például tartományi rendszergazdák, vállalati rendszergazdák vagy rendszergazdák.

  2. Távolítsa el a fiókot a kiemelt csoportból, ha nincs szükség emelt szintű hozzáférésre, vagy tiltsa le a fiókot, ha nincs használatban.

Például:

  • Nem használt vagy leszerelt szolgáltatásfiók:

    • Tiltsa le a fiókot az Active Directoryban, miután meggyőződett arról, hogy nincsenek legutóbbi bejelentkezések vagy függőségek.

    • Monitorozás rövid ideig (7–14 napig). Ha inaktív, törölje a szabályzatnak megfelelően.

  • Aktív szolgáltatásfiók rendszergazdai jogosultságok nélkül:

    • Távolítsa el a kiemelt csoportból a jelentésben látható módon.

    • Csak a minimálisan szükséges hozzáférést adja meg delegált engedélyeken vagy hatókörön belüli biztonsági csoportokon keresztül.

  • Régi fiókok lecserélése:

    • A szolgáltatásfiókok áttelepítése csoportosan felügyelt szolgáltatásfiókokba (gMSA) az automatikus jelszóváltás és a hitelesítő adatok kisebb mértékű kitettsége érdekében.

  • Jogosultsággal rendelkező fiókok

    • A Bejelentkezés a következőre tulajdonság használatával korlátozhatja, hogy hol jelentkezhetnek be.

    • Korlátozza az interaktív bejelentkezéseket Csoportházirend, és engedélyezze a célzott naplózást a tevékenységeikhez.

    • A kiemelt tagság tulajdonjogának, dokumentációjának és rendszeres felülvizsgálatának megkövetelése.

Fiókok megkeresése beépített operátorcsoportokban

Leírás

Felsorolja azokat az Active Directory-fiókokat (felhasználókat, szolgáltatásfiókokat és csoportokat), amelyek tagjai a beépített operátorcsoportoknak, például a kiszolgálói operátoroknak, a biztonsági mentési operátoroknak, a nyomtatási operátoroknak vagy a fiókkezelőknek, beleértve a közvetlen és közvetett tagságot. Ezek a csoportok emelt szintű jogosultságokat biztosítanak, amelyekkel veszélyeztethetők a tartományvezérlők vagy a bizalmas kiszolgálók.

Felhasználóra gyakorolt hatás

Az operátorcsoportok széles körű felügyeletet biztosítanak a kiszolgálók, fájlok és rendszerműveletek felett. Ezeknek a csoportoknak a tagjai olyan felügyeleti műveleteket hajthatnak végre, mint a kritikus szolgáltatások leállítása, a fájlok módosítása vagy az adatok visszaállítása, amelyek a jogosultságok eszkalálására vagy az adatmegőrzésre használhatók. Mivel ezekre a csoportokra ritkán van szükség a modern környezetekben, a fiókok felesleges elhagyása szükségtelenül növeli a jogosultságokkal való visszaélés vagy az oldalirányú mozgás kockázatát.

Végrehajtása

  1. Tekintse át a közzétett entitások listáját, és állapítsa meg, hogy az AD-fiókok közül melyik tagja az egyik beépített operátorcsoportnak (például Kiszolgálói operátorok, Biztonsági mentési operátorok, Nyomtatási operátorok és Fiókoperátorok).

  2. Távolítsa el a fiókot az operátorcsoportból, ha nincs szükség emelt szintű hozzáférésre, vagy tiltsa le a fiókot, ha nincs használatban.

Például:

  • Távolítsa el a biztonsági mentési operátorokhoz hozzáadott tagságot, vagy tiltsa le a biztonsági mentési operátorokhoz hozzáadott szolgáltatás- vagy rendszergazdai fiókot a már nem futó régi biztonsági mentési folyamathoz.

  • Ha egy fiók továbbra is végrehajtja az üzemeltetési feladatokat, de nem igényel széles körű operátori jogosultságokat, csak a szükséges engedélyeket delegálja (például fájl-visszaállítást vagy nyomtatáskezelést egyetlen kiszolgálón).

  • Ha az operátorcsoport-tagság egy adott felügyeleti funkcióhoz elengedhetetlen, monitorozza a fiókot, korlátozza a szükséges gazdagépekre, és rendszeresen tekintse át a folyamatos szükség megerősítéséhez.

Nem alapértelmezett elsődleges csoportazonosítóval rendelkező fiókok

Leírás

Ez a javaslat felsorolja azokat a számítógépeket és felhasználói fiókokat, amelyek primaryGroupId (PGID) attribútuma nem az alapértelmezett az Active Directory tartományi felhasználói és számítógépei számára.

Felhasználóra gyakorolt hatás

Egy felhasználói vagy számítógépfiók primaryGroupId attribútuma implicit tagságot biztosít egy csoportnak. Az attribútumon keresztüli tagság egyes felületeken nem jelenik meg a csoporttagok listájában. Ez az attribútum használható a csoporttagság elrejtésére tett kísérletként. Előfordulhat, hogy egy támadó rejtett módon eszkalálja a jogosultságokat anélkül, hogy normál naplózást indítanának a csoporttagság módosításaihoz. 

Végrehajtása

  1. Tekintse át a közzétett entitások listáját, hogy megtudja, melyik fiókja rendelkezik gyanús primaryGroupId azonosítóval.  

  2. A fiókokkal kapcsolatos megfelelő lépéseket úgy hajthatja végre, hogy visszaállítja az attribútumukat az alapértelmezett értékekre, vagy hozzáadja a tagot a megfelelő csoporthoz:

  • Felhasználói fiókok: 513 (Tartományi felhasználók) vagy 514 (Tartományi vendégek);

  • Számítógépfiókok: 515 (tartományi számítógépek);

  • Tartományvezérlői fiókok: 516 (Tartományvezérlők);

  • Írásvédett tartományvezérlői fiókok: 521 (csak olvasható tartományvezérlők).

Hozzáférési jogosultságok eltávolítása gyanús fiókokról az Rendszergazda SDHolder engedéllyel

Leírás

A nem bizalmas fiókok Rendszergazda SDHolder (biztonsági leíró tulajdonos) engedélyekkel jelentős biztonsági következményekkel járhatnak, beleértve a következőket:

  • Jogosulatlan jogosultságok eszkalálásához vezet, ahol a támadók kihasználhatják ezeket a fiókokat, hogy rendszergazdai hozzáférést szerezzenek, és feltörhessék a bizalmas rendszereket vagy adatokat
  • A támadási felület növelése, ami megnehezíti a biztonsági incidensek nyomon követését és mérséklését, ami nagyobb kockázatnak teszi ki a szervezetet.

Végrehajtása

  1. Tekintse át a Rendszergazda SDHolder engedéllyel rendelkező gyanús fiókok hozzáférési jogosultságainak eltávolítása című témakörben javasolt műveletethttps://security.microsoft.com/securescore?viewid=actions.

    Például:

    Képernyőkép a Rendszergazda SDHolder biztonsági értékelésről.

  2. Tekintse át a közzétett entitások listáját, hogy megtudja, melyik nem bizalmas fiók rendelkezik Rendszergazda SDHolder engedéllyel.

  3. A jogosultsági jogosultságok eltávolításával megfelelő lépéseket kell tenni az entitásokon. Például:

    1. Az ADSI-szerkesztő eszközzel csatlakozzon a tartományvezérlőhöz.
    2. Keresse meg a CN=System>CN=AdminSDHolder tárolót, és nyissa meg a CN=AdminSDHolder tároló tulajdonságait.
    3. Válassza a Biztonság lap Speciális elemét>, és távolítsa el a nem bizalmas entitásokat. Ezek a biztonsági értékelésben közzétettként megjelölt entitások.

    További információ: Az Active Directory szolgáltatási felületei és az ADSI-szerkesztés dokumentációja

A teljes pontszám eléréséhez szervizelje az összes közzétett entitást.

Krbtgt-fiók jelszavának módosítása

Leírás

Ez a javaslat felsorolja azokat a krbtgt-fiókokat a környezetben, amelyek jelszava legutóbb 180 nappal ezelőtt volt beállítva.

Felhasználóra gyakorolt hatás

Az Active Directory krbtgt-fiókja a Kerberos hitelesítési szolgáltatás által használt beépített fiók. Titkosítja és aláírja az összes Kerberos-jegyet, így biztonságos hitelesítést tesz lehetővé a tartományban. A fiók nem törölhető, és a védelme elengedhetetlen, mivel a biztonsági rések lehetővé tehetik, hogy a támadók hitelesítési jegyeket kovácsoljanak.
Ha a KRBTGT-fiók jelszava sérült, a támadó a kivonatával létrehozhat érvényes Kerberos-hitelesítési jegyeket, így aranyjegyes támadásokat hajthat végre, és hozzáférhet az AD-tartomány bármely erőforrásához. Mivel a Kerberos a KRBTGT jelszavára támaszkodik az összes jegy aláírásához, az ilyen támadások kockázatának mérsékléséhez elengedhetetlen a jelszó szigorú monitorozása és rendszeres módosítása.

Végrehajtása

  1. Tekintse át a közzétett entitások listáját, hogy megtudja, melyik krbtgt-fiók rendelkezik régi jelszóval.

  2. A Golden Ticket-támadás érvénytelenítése érdekében kétszer állítsa alaphelyzetbe a jelszavát, és tegyen megfelelő lépéseket ezen fiókokon. 

Megjegyzés:

A krbtgt Kerberos-fiók minden Active Directory-tartományban támogatja a kulcstárolást az összes Kerberos-kulcsterjesztési központban (KDC). A TGT-titkosítás Kerberos-kulcsainak megújításához rendszeresen módosítsa a krbtgt-fiók jelszavát.

Javasoljuk, hogy kétszer állítsa alaphelyzetbe a jelszót, és várjunk legalább 10 órát az alaphelyzetbe állítások között. Ez a folyamat érvényteleníti a meglévő Kerberos-jegyeket a Golden Ticket-támadások megelőzése érdekében.

A hivatalos és támogatott eljárásért lásd : A krbtgt jelszavának alaphelyzetbe állítása.

A helyszíni fiók jelszavának módosítása potenciálisan kiszivárgott hitelesítő adatokkal (előzetes verzió)

Leírás

Ez a jelentés felsorolja azokat a felhasználókat, akiknek érvényes hitelesítő adatai kiszivárogtak. Amikor a kiberbűnözők feltörik a megbízható felhasználók érvényes jelszavát, a bűnözők gyakran megosztják ezeket a hitelesítő adatokat. Ez úgy történik, hogy közzéteszi őket nyilvánosan a sötét weben, vagy illessze be az oldalakat, vagy a fekete piacon kereskedik vagy értékesíti a hitelesítő adatokat. A Microsoft kiszivárgott hitelesítő adatok szolgáltatása a nyilvános és sötét webhelyek monitorozásával, valamint a Microsoft más megbízható források kutatóinak bűnüldözési biztonsági csapataival együttműködve szerez be felhasználónév-jelszó párokat.

Felhasználóra gyakorolt hatás

Amikor a szolgáltatás felhasználói hitelesítő adatokat szerez a sötét webről, beilleszti a webhelyeket vagy a fenti forrásokat, a feltört hitelesítő adatokkal rendelkező fiókot rosszindulatú támadók kihasználhatják, hogy jogosulatlan hozzáférést szerezzenek.

Végrehajtása

  1. Tekintse át az esetlegesen kiszivárgott hitelesítő adatokkal rendelkező fiókok jelszavának módosítása című témakörben javasolt műveletethttps://security.microsoft.com/securescore?viewid=actions.
  2. Tekintse át a közzétett entitások listáját, hogy megtudja, melyik fiókjelszavak szivárogtak ki.
  3. A szolgáltatásfiók eltávolításával megfelelő műveleteket végezhet ezen entitásokon:
    1. Nyissa meg a Active Directory - felhasználók és számítógépek (ADUC) konzolt, és jelentkezzen be egy rendszergazdai fiókkal.
    2. Lépjen arra a szervezeti egységre (OU), ahol a felhasználói fiók található.
    3. Keresse meg és válassza ki azt a felhasználói fiókot, amely jelszómódosítást igényel.
    4. Kattintson a jobb gombbal a felhasználói fiókra, válassza a Jelszó alaphelyzetbe állítása lehetőséget, írja be az új jelszót, és erősítse meg.

A beépített tartományi rendszergazdai fiók jelszavának módosítása

Leírás

Ez a javaslat felsorolja azokat a beépített tartományi rendszergazdai fiókokat a környezetben, amelyek jelszava legutóbb 180 nappal ezelőtt volt beállítva. 

Felhasználóra gyakorolt hatás

A beépített tartományi rendszergazdai fiók egy alapértelmezett, magas jogosultsági szintű AD-fiók, amely teljes körűen felügyeli a tartományt. Nem törölhető, korlátlan hozzáféréssel rendelkezik, és kritikus fontosságú a tartomány erőforrásainak kezeléséhez.

A beépített rendszergazdai fiók jelszavának rendszeres frissítése elengedhetetlen a magas szintű jogosultságok miatt, ami elsődleges célpont a támadók számára. Ha illetéktelen kezekbe kerül, jogosulatlan hozzáférést biztosíthat a tartomány felett. Mivel ez a fiók gyakran nincs használatban, és előfordulhat, hogy a jelszava nem frissül gyakran, a rendszeres módosítások csökkentik a kitettséget, és növelik a biztonságot. 

Végrehajtása

  1. Tekintse át a közzétett entitások listáját annak kiderítéséhez, hogy a beépített tartományi rendszergazdai fiókok közül melyik rendelkezik régi jelszóval.  

  2. A jelszó alaphelyzetbe állításával megfelelő műveletet hajt végre ezen fiókokon.  

    Például:

Képernyőkép a beépített tartományi rendszergazdai fiókok jelszómódosításának biztonsági helyzetértékeléséről.

Inaktív entitások bizalmas csoportokban

Leírás

Microsoft Defender for Identity észleli, hogy az egyes felhasználók bizalmasak-e, valamint olyan attribútumokat adnak meg, amelyek akkor jelennek meg, ha inaktívak, letiltottak vagy lejártak.

A bizalmas fiókok azonban alvó állapotba is válhatnak, ha 180 napig nem használják őket. A nyugalmi bizalmas entitások lehetőséget jelentenek arra, hogy a rosszindulatú szereplők bizalmas hozzáférést szerezzenek a szervezethez.

További információ: A Defender for Identity entitáscímkéi a Microsoft Defender XDR.

Felhasználóra gyakorolt hatás

Azok a szervezetek, amelyek nem tudják biztonságossá tenni a nyugalmi felhasználói fiókjukat, az ajtó nyitva marad a bizalmas adataik számára.

A rosszindulatú szereplők, hasonlóan a tolvajokhoz, gyakran a legegyszerűbb és legcsendesebb utat keresik bármilyen környezetben. A szervezetbe vezető egyszerű és csendes út a már nem használt bizalmas felhasználói és szolgáltatásfiókok révén érhető el.

Nem számít, hogy ennek oka az alkalmazottak forgalma vagy az erőforrások helytelen kezelése- a lépés kihagyása sebezhetővé és sebezhetővé teszi a szervezet legérzékenyebb entitásait.

Végrehajtása

  1. Tekintse át a következő helyen javasolt műveletet https://security.microsoft.com/securescore?viewid=actions , hogy kiderítse, melyik bizalmas fiókja inaktív.

    Képernyőkép a nyugalmi fiókok bizalmas csoportokból való eltávolításával kapcsolatos fejlesztésekről.

  2. A felhasználói fiókokon a jogosultsági jogosultságok eltávolításával vagy a fiók törlésével megfelelő lépéseket kell tenni.

Nem rendszergazdai fiókok eltávolítása DCSync-engedélyekkel

Leírás

A DCSync engedéllyel rendelkező fiókok kezdeményezhetik a tartományreplikálást. A támadók kihasználhatják a tartományreplikálást, hogy jogosulatlan hozzáférést szerezzenek, módosíthassák a tartományi adatokat, vagy veszélyeztethessék az Active Directory-környezet integritását és rendelkezésre állását.

A tartományreplikációs folyamat biztonságának és integritásának biztosítása érdekében rendkívül fontos a csoporttagság gondos kezelése és korlátozása.

Végrehajtása

  1. Tekintse át a nem rendszergazdai fiókok DCSync-engedélyekkel való eltávolítására vonatkozó ajánlott műveletet a következő helyenhttps://security.microsoft.com/securescore?viewid=actions: .

    A DCsync engedélyekkel rendelkező nem rendszergazdai fiókok eltávolításához javasolt műveletet bemutató képernyőkép.

  2. Tekintse át a közzétett entitások listáját annak kiderítéséhez, hogy melyik fiókja rendelkezik DCSync-engedélyekkel, és melyek nem tartománygazdák is.

  3. A jogosultsági jogosultságok eltávolításával megfelelő lépéseket kell tenni az entitásokon.

A maximális pontszám eléréséhez javítsa ki az összes közzétett entitást.

A Active Directory - felhasználók és számítógépek a tartományvezérlőre való bejelentkezéssel érheti el. DCSync-engedélyek eltávolítása nem rendszergazdai fiókból:

  1. Nyissa meg Active Directory - felhasználók és számítógépek.

  2. Kapcsolja be a Speciális funkciókat. Ez a tartományobjektumok Biztonság lapjának megjelenítéséhez szükséges.

  3. Nyissa meg a Domain properties (Tartomány tulajdonságai) elemet, válassza ki a tartománynevét (például contoso.local), majd válassza a Properties (Tulajdonságok) lehetőséget.

  4. Válassza a Biztonság lapot.

  5. Válassza ki a célfelhasználót vagy csoportot, majd válassza ki azt a nem rendszergazdai felhasználót vagy szolgáltatásfiókot, amely nem rendelkezik ezekkel az engedélyekkel.

  6. Törölje a replikációs engedélyek jelölését. Görgessen végig a "[Felhasználó] engedélyei] listában, ha ki vannak jelölve az alábbi engedélyek:

    • Címtárváltozások replikálása
    • A címtár replikálása az összeset módosítja

  7. Válassza az Alkalmaz, majd az OK gombot.

Győződjön meg arról, hogy a kiemelt fiókok nincsenek delegálva

Leírás

Ez a javaslat felsorolja azokat a kiemelt fiókokat, amelyeken nincs engedélyezve a "nem delegált" beállítás, kiemelve azokat, amelyek potenciálisan ki vannak téve a delegálással kapcsolatos kockázatoknak. A kiemelt fiókok olyan fiókok, amelyek egy kiemelt csoport tagjai, például tartományi rendszergazdák, sémaadminisztrátorok stb. 

Felhasználóra gyakorolt hatás

Ha a bizalmas jelző le van tiltva, a támadók kihasználhatják a Kerberos-delegálást az emelt szintű fiók hitelesítő adataival való visszaélésre, ami jogosulatlan hozzáféréshez, oldalirányú mozgáshoz és potenciális hálózati biztonsági incidensekhez vezethet. A bizalmas jelző beállítása a kiemelt felhasználói fiókokon megakadályozza, hogy a felhasználók hozzáférjenek a fiókhoz, és módosítják a rendszerbeállításokat.
Az eszközfiókok esetében fontos a "nem delegált" értékre állítani őket, hogy ne használják azt a delegálási forgatókönyvekben, így biztosítva, hogy a számítógépen lévő hitelesítő adatok ne legyenek továbbíthatók más szolgáltatások eléréséhez.

Végrehajtása

  1. Tekintse át a közzétett entitások listáját, és ellenőrizze, hogy mely kiemelt jogosultságú fiókok esetében nem szerepel a "ez a fiók bizalmas, és nem delegálható" konfigurációs jelző.

  2. Megfelelő intézkedések meghozása az adott fiókokon:

  • Felhasználói fiókok esetén: a fiók vezérlőjelölőinek "ez a fiók bizalmas, és nem delegálható" értékre állításával. A Fiók lapon jelölje be a Fiókbeállítások szakaszban az ehhez a jelzőhöz tartozó jelölőnégyzetet. Ez megakadályozza, hogy a felhasználók hozzáférjenek a fiókhoz és módosítják a rendszerbeállításokat.  

    A felhasználói profil képernyőképe.

  • Eszközfiókok esetén:
    A legbiztonságosabb módszer egy PowerShell-szkript használata az eszköz konfigurálásához, hogy ne lehessen használni bármilyen delegálási forgatókönyvben, biztosítva, hogy a gépen lévő hitelesítő adatok ne legyenek továbbíthatók más szolgáltatások eléréséhez.

    $name = "ComputerA" 
Get-ADComputer -Identity $name |
Set-ADAccountControl -AccountNotDelegated:$true

    Másik lehetőségként állítsa az UserAccountControl attribútumot értékre NOT_DELEGATED = 0x100000 a közzétett eszköz Attribútumszerkesztő lapján.

    Például:

    Képernyőkép az eszközprofilról.

A hitelesítő adatokat egyértelmű szövegben felfedő entitások

Leírás

Ez a biztonsági értékelés a hitelesítő adatokat egyértelmű szövegben felfedő entitások forgalmát figyeli, és a javasolt javítással figyelmezteti Önt a szervezet aktuális expozíciós kockázataira (a leginkább érintett entitásokra).

Felhasználóra gyakorolt hatás

A hitelesítő adatokat egyértelmű szövegben közzétenő entitások nem csak a szóban forgó közzétett entitás, hanem a teljes szervezet számára kockázatosak.

A nagyobb kockázat az, hogy a nem biztonságos forgalom, például az LDAP simple-bind rendkívül érzékeny a középső támadásokkal történő elfogásra. Az ilyen típusú támadások rosszindulatú tevékenységeket eredményeznek, beleértve a hitelesítő adatok felfedésének lehetőségét is, amelyek során a támadó rosszindulatú célokra használhatja a hitelesítő adatokat.

Végrehajtása

  1. Tekintse át az ajánlott műveletet itt: https://security.microsoft.com/securescore?viewid=actions.

    A szöveges hitelesítő adatok egyértelmű felfedésének megakadályozása.

    Tekintse át a legfontosabb érintett entitásokat, és hozzon létre egy cselekvési tervet.

  2. Annak kutatása, hogy ezek az entitások miért használnak LDAP-t tiszta szövegben.

  3. Javítsa ki a problémákat, és állítsa le az expozíciót.

  4. A szervizelés megerősítését követően javasoljuk, hogy tartományvezérlői szintű LDAP-aláírást igényeljön. Az LDAP-kiszolgáló aláírásával kapcsolatos további információkért lásd: A tartományvezérlő LDAP-kiszolgálói aláírási követelményei.

Megjegyzés:

Ez az értékelés közel valós időben frissül. A jelentések az elmúlt 30 nap érintett entitását mutatják. Ezt követően a már nem érintett entitások törlődnek a közzétett entitások listájából.

Microsoft LAPS-használat

Leírás

A Microsoft "Helyi rendszergazdai jelszómegoldás" (LAPS) szolgáltatása a tartományhoz csatlakoztatott számítógépek helyi rendszergazdai fiókjelszavainak kezelését biztosítja. A jelszavak véletlenszerűek, és az Active Directoryban (AD) vannak tárolva, ACL-ekkel védve, így csak a jogosult felhasználók olvashatják el vagy kérhetik az alaphelyzetbe állítását.

Ez a biztonsági értékelés támogatja az örökölt Microsoft LAPS-t és a Windows LAPS-t.

Felhasználóra gyakorolt hatás

A LAPS megoldást kínál arra a problémára, hogy egy közös helyi fiókot azonos jelszóval használ egy tartomány minden számítógépén. Az LAPS úgy oldja meg ezt a problémát, hogy a tartomány minden számítógépén beállít egy másik, rotált véletlenszerű jelszót a közös helyi rendszergazdai fiókhoz.

A LAPS leegyszerűsíti a jelszókezelést, miközben segít az ügyfeleknek a kibertámadásokkal szembeni ajánlottabb védelem megvalósításában. A megoldás különösen csökkenti az oldalirányú eszkalálás kockázatát, amely akkor lép fel, ha az ügyfelek ugyanazt a helyi rendszergazdai fiókot és jelszókombinációt használják a számítógépükön. Az LAPS minden számítógép helyi rendszergazdai fiókjának jelszavát az AD-ben tárolja, amelyet a számítógép megfelelő AD-objektumában található bizalmas attribútum véd. A számítógép frissítheti a saját jelszóadatait az AD-ben, és a tartományi rendszergazdák olvasási hozzáférést biztosíthatnak a jogosult felhasználók vagy csoportok számára, például a munkaállomás ügyfélszolgálati rendszergazdáinak.

Megjegyzés:

Bizonyos esetekben Microsoft Entra hibrid csatlakoztatott gépek akkor is megjelenhetnek a biztonsági állapotértékelésben, ha az LAPS Microsoft Entra ID van konfigurálva. Ennek oka lehet a szabályzat alkalmazása vagy az eszköz állapotjelentése. Ha ez történik, javasoljuk, hogy tekintse át Microsoft Entra ID LAPS-konfigurációját, és ellenőrizze, hogy minden a várt módon van-e beállítva. További részleteket itt talál.

Végrehajtása

  1. Tekintse át az ajánlott műveletet a következő helyen https://security.microsoft.com/securescore?viewid=actions : annak kiderítéséhez, hogy melyik tartománya rendelkezik olyan (vagy az összes) kompatibilis Windows-eszközzel, amelyet nem véd laps szolgáltatás, vagy amelyeken az elmúlt 60 napban nem módosult a LAPS által kezelt jelszó.

    Képernyőkép arról, hogy mely tartományok rendelkeznek lapvédelem nélküli eszközökkel.

  2. A részlegesen védett tartományok esetében válassza ki a megfelelő sort a tartományban lévő LAPS által nem védett eszközök listájának megtekintéséhez.

    Képernyőkép a kijelölt tartományban lévő LAPS által nem védett eszközök listájáról.

  3. A Microsoft LAPS vagy a Windows LAPS letöltésével, telepítésével és konfigurálásával vagy hibaelhárításával végezze el a megfelelő lépéseket az eszközökön.

    Képernyőkép a LAPS által nem védett eszközök szervizelési lépéseiről.

Felderíthető jelszavak eltávolítása az Active Directory-fiókattribútumokban (előzetes verzió)

Leírás

Bizonyos szabadszöveg-attribútumok gyakran figyelmen kívül hagyhatók a megkeményedés során, de a tartomány bármely hitelesített felhasználója számára olvashatók. Ha ezek az attribútumok tévesen tárolják a hitelesítő adatokat vagy nyomokat, a támadók visszaélhetnek velük, hogy oldalirányban mozogjanak a környezetben, vagy eszkalálják a jogosultságokat.

A támadók alacsony súrlódási útvonalakat keresnek a hozzáférés bővítéséhez. Az ezekben az attribútumokban közzétett jelszavak egyszerű győzelmet jelentenek, mert:

  • Az attribútumok nincsenek korlátozva a hozzáférésben.

  • A rendszer alapértelmezés szerint nem figyeli őket.

  • Kontextust biztosítanak, a támadók kihasználhatják az oldalirányú mozgást és a jogosultságok eszkalálását.

Ha eltávolítja a közzétett hitelesítő adatokat ezekből az attribútumokból, az csökkenti az identitás sérülésének kockázatát, és erősíti a szervezet biztonsági helyzetét.

Megjegyzés:

Az eredmények közé tartozhatnak a téves pozitív eredmények. A művelet végrehajtása előtt mindig ellenőrizze az eredményeket.

Microsoft Defender for Identity észleli a hitelesítő adatok lehetséges kitettségét az Active Directoryban a gyakran használt szabadszöveges attribútumok elemzésével. Ez magában foglalja a gyakori jelszóformátumok, tippek, 'description', 'info'és 'adminComment' mezők, valamint egyéb környezeti nyomok keresése, amelyek a hitelesítő adatokkal való visszaélésre utalhatnak. Ez a javaslat az Active Directory-attribútumok GenAI-alapú elemzését használja az alábbiak észleléséhez:

  • Egyszerű szöveges jelszavak vagy változatok. Például: "Password=Summer2025!'

  • Hitelesítő adatok mintái, alaphelyzetbe állítási tippek vagy bizalmas fiókadatok.

  • Egyéb mutatók, amelyek a címtármezők működésével való visszaélésre utalnak.

Az észlelt találatok a biztonsági pontszámban és a Biztonsági értékelés jelentésben jelennek meg felülvizsgálatra és szervizelésre.

Végrehajtása

A biztonsági értékeléshez kövesse az alábbi lépéseket:

  1. Tekintse át a felderíthető jelszavak eltávolítása az Active Directory-fiókattribútumokban című témakörben javasolt műveletet https://security.microsoft.com/securescore?viewid=actions .

  2. Tekintse át a biztonsági jelentés közzétett bejegyzéseit. Azonosítsa az alábbi mezők tartalmát:

    • Szöveges jelszavak törlése

    • Útmutatók vagy hitelesítő adatok alaphelyzetbe állítása

    • Bizalmas üzleti vagy rendszerinformációk

  3. Távolítsa el a bizalmas adatokat a felsorolt attribútummezőkből standard címtárkezelési eszközökkel (például PowerShell vagy ADSI-szerkesztés).

  4. A bizalmas adatok teljes eltávolítása. Ne csak maszkolja az értéket. A részleges elfedés (például P@ssw***) továbbra is hasznos nyomokat nyújthat a támadóknak.

Elavult szolgáltatásfiókok eltávolítása (előzetes verzió)

Leírás

Ez a javaslat az elmúlt 90 napban elavultként észlelt Active Directory-szolgáltatásfiókokat sorolja fel.

Felhasználóra gyakorolt hatás

A nem használt szolgáltatásfiókok jelentős biztonsági kockázatokat jelentenek, mivel egyes fiókok emelt szintű jogosultságokkal is rendelkezhetnek. Ha a támadók hozzáférést kapnak, az eredmény jelentős kárt okozhat. Előfordulhat, hogy az elavult szolgáltatásfiókok magas vagy örökölt engedélyeket őriznek meg. Biztonsági rés esetén diszkrét belépési pontokat biztosítanak a támadók számára a kritikus rendszerekhez, így sokkal több hozzáférést biztosítanak, mint egy standard felhasználói fiók.

Ez az expozíció számos kockázatot jelent:

  • Bizalmas alkalmazásokhoz és adatokhoz való jogosulatlan hozzáférés.

  • Oldalirányú mozgás észlelés nélkül a hálózaton.

Végrehajtása

A biztonsági értékelés hatékony használatához kövesse az alábbi lépéseket:

  1. Tekintse át az elavult szolgáltatásfiók eltávolítására vonatkozó javasolt műveletet a következő helyen https://security.microsoft.com/securescore?viewid=actions  : .

  2. Tekintse át a közzétett entitások listáját, hogy megtudja, mely szolgáltatásfiókok elavultak, és nem végeztek bejelentkezési tevékenységet az elmúlt 90 napban.

  3. A szolgáltatásfiók eltávolításával megfelelő műveleteket végezhet ezen entitásokon. Például:

    • Tiltsa le a fiókot: A használat megakadályozása a közzétettként azonosított fiók letiltásával.

    • Hatás figyelése: Várjon néhány hetet, és figyelje az üzemeltetési problémákat, például a szolgáltatáskimaradásokat vagy a hibákat.

    • Törölje a fiókot: Ha nem észlelhető probléma, törölje a fiókot, és távolítsa el teljes mértékben a hozzáférését.

A legkockázatosabb oldalirányú mozgásvonalak (LMP)

Leírás

Microsoft Defender for Identity folyamatosan monitorozza a környezetet, hogy azonosítsa a bizalmas fiókokat a legkockázatosabb oldalirányú mozgási útvonalakkal, amelyek biztonsági kockázatot jelentenek, és jelentéseket készít ezekről a fiókokról, hogy segítsen a környezet kezelésében. Az elérési utak akkor minősülnek kockázatosnak, ha három vagy több nem bizalmas fiókkal rendelkeznek, amelyek a bizalmas fiókot rosszindulatú szereplők hitelesítő adatainak ellopására tehetik közzé.

További információ az oldalirányú mozgási útvonalakról:

Felhasználóra gyakorolt hatás

Azok a szervezetek, amelyek nem tudják biztonságossá tenni a bizalmas fiókjukat, nyitva hagyják az ajtót a rosszindulatú szereplők számára.

A rosszindulatú szereplők, hasonlóan a tolvajokhoz, gyakran a legegyszerűbb és legcsendesebb utat keresik bármilyen környezetben. A kockázatos oldalirányú mozgási útvonalakkal rendelkező érzékeny fiókok a támadók lehetőségeinek ablakai, és kockázatot jelenthetnek.

A legkockázatosabb útvonalak például könnyebben láthatók a támadók számára, és ha feltörik, hozzáférést biztosíthatnak a támadóknak a szervezet legérzékenyebb entitásaihoz.

Végrehajtása

  1. Tekintse át a következő helyen javasolt műveletet https://security.microsoft.com/securescore?viewid=actions : annak kiderítése, hogy melyik bizalmas fiók rendelkezik kockázatos LMP-vel.

    Képernyőkép az érintett entitásokról és a bizalmas entitások oldalirányú mozgási útvonalának kockázatának csökkentésére végrehajtandó műveletekről.

  2. A megfelelő művelet végrehajtása:

    • Távolítsa el az entitást a csoportból a javaslatban megadottak szerint.
    • Távolítsa el az entitás helyi rendszergazdai engedélyeit a javaslatban megadott eszközről.

Nem biztonságos Kerberos-delegálás

Leírás

A Kerberos-delegálás egy delegálási beállítás, amellyel az alkalmazások végfelhasználói hozzáférési hitelesítő adatokat kérhetnek az erőforrásoknak a forrásfelhasználó nevében való eléréséhez.

Felhasználóra gyakorolt hatás

A nem biztonságos Kerberos-delegálás lehetővé teszi, hogy az entitás megszemélyesítse Önt bármely más kiválasztott szolgáltatásban. Tegyük fel például, hogy van egy IIS-webhelye, és az alkalmazáskészlet-fiók nem korlátozott delegálással van konfigurálva. Az IIS webhelyének windowsos hitelesítése is engedélyezve van, ami lehetővé teszi a natív Kerberos-hitelesítést, és a webhely egy háttérbeli SQL Server használ az üzleti adatokhoz. A Domain Rendszergazda-fiókjával keresse meg az IIS webhelyet, és hitelesítsen rajta. A nem korlátozott delegálást használó webhely szolgáltatásjegyet kaphat egy tartományvezérlőtől az SQL-szolgáltatáshoz, és ezt az Ön nevében teheti meg.

A Kerberos-delegálás fő problémája, hogy megbízhatónak kell minősítenie az alkalmazást, hogy mindig a megfelelő dolgot tegye. A rosszindulatú aktorok ehelyett arra kényszeríthetik az alkalmazást, hogy rossz dolgot tegyenek. Ha ön tartományi rendszergazdaként van bejelentkezve, a webhely létrehozhat egy jegyet bármilyen más szolgáltatáshoz, amelyet önként, a tartományi rendszergazdaként eljárva kíván. A hely például kiválaszthat egy tartományvezérlőt, és módosíthatja a vállalati rendszergazdai csoportot. Hasonlóképpen, a webhely beszerezheti a KRBTGT-fiók kivonatát, vagy letölthet egy érdekes fájlt az Emberi erőforrások osztályról. A kockázat egyértelmű, és a nem biztonságos delegálás lehetőségei szinte végtelenek.

Az alábbiakban a különböző delegálási típusok által jelentett kockázat leírása látható:

  • Nem korlátozott delegálás: Bármely szolgáltatás visszaélhet, ha az egyik delegálási bejegyzés bizalmas.
  • Korlátozott delegálás: A korlátozott entitások visszaélhetnek, ha az egyik delegálási bejegyzés bizalmas.
  • Erőforrás-alapú korlátozott delegálás (RBCD): Az erőforrás-alapú korlátozott entitások visszaélhetnek, ha maga az entitás bizalmas.

Végrehajtása

  1. Tekintse át a következő helyen javasolt műveletet https://security.microsoft.com/securescore?viewid=actions : annak kiderítése, hogy a nem tartományvezérlő entitások közül melyik van konfigurálva a nem biztonságos Kerberos-delegáláshoz.

    Képernyőkép a Nem biztonságos Kerberos-delegálás biztonsági felméréséről.

  2. Tegye meg a megfelelő lépéseket a veszélyeztetett felhasználókon, például távolítsa el a nem korlátozott attribútumot, vagy módosítsa biztonságosabb korlátozott delegálásra.

  3. Használja a delegálás típusának megfelelő szervizelést.

  4. Tiltsa le a delegálást, vagy használja a kerberos által korlátozott delegálás (KCD) alábbi típusainak egyikét:

Nem korlátozott delegálás

  1. Válassza a Megbízható ez a számítógép lehetőséget, ha csak a megadott szolgáltatásokhoz szeretne delegálást. Képernyőkép arról, hogy a számítógép megbízható-e a megadott szolgáltatásokhoz való delegáláshoz.

  2. Adja meg azokat a szolgáltatásokat, amelyekhez ez a fiók delegált hitelesítő adatokat tud bemutatni.

Korlátozott delegálás

Korlátozza, hogy a fiók mely szolgáltatásokat tudja megszemélyesíteni.

  1. Tekintse át a javaslatokban felsorolt bizalmas felhasználókat, és távolítsa el őket azokról a szolgáltatásokról, amelyekhez az érintett fiók delegált hitelesítő adatokat tud bemutatni.

    Képernyőkép a közzétett entitások listájáról, a megszemélyesítés megakadályozása érdekében a nem biztonságos Kerberos-delegálás módosítására vonatkozó javaslattal.

Erőforrás-alapú korlátozott delegálás (RBCD)

Az erőforrás-alapú korlátozott delegálás korlátozza, hogy mely entitások személyesíthetik meg ezt a fiókot. Az erőforrás-alapú KCD a PowerShell használatával van konfigurálva.

  1. Használhatja a Set-ADComputer vagy a Set-ADUser parancsmagokat attól függően, hogy a megszemélyesítő fiók egy számítógépfiók vagy egy felhasználói fiók/szolgáltatásfiók.

  2. Tekintse át a javaslatokban felsorolt bizalmas felhasználókat, és távolítsa el őket az erőforrásból. További információ az RBCD konfigurálásáról: A Kerberos által korlátozott delegálás (KCD) konfigurálása Microsoft Entra tartományi szolgáltatások.

Nem biztonságos SID-előzményattribútumok

Leírás

A SID-előzmények olyan attribútumok, amelyek támogatják a migrálási forgatókönyveket. Minden felhasználói fiók rendelkezik egy társított biztonsági azonosítóval (SID), amellyel nyomon követhető a rendszerbiztonsági tag és a fiók hozzáférése az erőforrásokhoz való csatlakozáskor. A biztonsági azonosítók előzményei lehetővé teszik egy másik fiók hozzáférésének hatékony klónozását egy másikba, és hasznos lehet biztosítani, hogy a felhasználók megtartsák a hozzáférést, amikor áthelyezik (áttelepítik) az egyik tartományból a másikba.

Az értékelés ellenőrzi, hogy az sid history attribútumokkal rendelkező fiókok kockázatosnak Microsoft Defender for Identity-e a profilokat.

Felhasználóra gyakorolt hatás

Azok a szervezetek, amelyek nem tudják biztonságossá tenni a fiókattribútumaikat, nyitva hagyják az ajtót a rosszindulatú szereplők számára.

A rosszindulatú szereplők, hasonlóan a tolvajokhoz, gyakran a legegyszerűbb és legcsendesebb utat keresik bármilyen környezetben. A nem biztonságos SID History attribútummal konfigurált fiókok a támadók lehetőségeinek ablakai, és kockázatot jelenthetnek.

Egy tartomány nem bizalmas fiókja például az Active Directory-erdő egy másik tartományából a vállalati Rendszergazda SID-t is tartalmazhatja a biztonsági azonosító előzményei között, így "emeli" a felhasználói fiók hozzáférését az erdő összes tartományában érvényes Tartomány Rendszergazda. Ha a biztonsági azonosítók szűrése (más néven karantén) engedélyezése nélküli erdőmegbízhatóságtal rendelkezik, akkor egy másik erdőből is beszúrhat egy biztonsági azonosítót, és a hitelesítés és a hozzáférés-kiértékeléshez használt felhasználói jogkivonat hozzáadódik a felhasználói jogkivonathoz.

Végrehajtása

  1. Tekintse át a következő helyen javasolt műveletet https://security.microsoft.com/securescore?viewid=actions : annak kiderítése, hogy melyik fiók rendelkezik nem biztonságos SID History attribútummal.

    Képernyőkép a biztonsági azonosítók nem biztonságos előzményeinek eltávolítása attribútumok javítási műveleteiről.

  2. A következő lépések végrehajtásával távolítsa el a fiók sid history attribútumát a PowerShell használatával:

    1. Azonosítsa a SID-t a fiók SIDHistory attribútumában.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory

    2. Távolítsa el a SIDHistory attribútumot a korábban azonosított SID használatával.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}

Nem biztonságos fiókattribútumok

Leírás

Microsoft Defender for Identity folyamatosan figyeli a környezetet, hogy azonosítsa a biztonsági kockázatot jelentő attribútumértékekkel rendelkező fiókokat, és jelentéseket készít ezekről a fiókokról a környezet védelmének elősegítése érdekében.

Felhasználóra gyakorolt hatás

Azok a szervezetek, amelyek nem tudják biztonságossá tenni a fiókattribútumaikat, nyitva hagyják az ajtót a rosszindulatú szereplők számára.

A rosszindulatú szereplők, hasonlóan a tolvajokhoz, gyakran a legegyszerűbb és legcsendesebb utat keresik bármilyen környezetben. A nem biztonságos attribútumokkal konfigurált fiókok lehetőséget jelentenek a támadók számára, és kockázatot jelenthetnek.

Ha például a PasswordNotRequired attribútum engedélyezve van, a támadó könnyedén hozzáférhet a fiókhoz. Ez különösen kockázatos, ha a fiók emelt szintű hozzáféréssel rendelkezik más erőforrásokhoz.

Végrehajtása

  1. Tekintse át a következő helyen javasolt műveletet https://security.microsoft.com/securescore?viewid=actions : annak kiderítése, hogy melyik fiók rendelkezik nem biztonságos attribútumokkal.

    A feloldandó nem biztonságos fiókattribútumok listáját bemutató képernyőkép.

  2. A megfelelő lépéseket a megfelelő attribútumok módosításával vagy eltávolításával hajthatja végre az adott felhasználói fiókokon.

  3. Használja a megfelelő attribútumnak megfelelő szervizelést az alábbi táblázatban leírtak szerint:

Javasolt művelet Kármentesítés Ok
Eltávolítás: Nincs szükség Kerberos-előhitelesítésre A beállítás eltávolítása az Active Directory (AD) fióktulajdonságaiból A beállítás eltávolításához Kerberos-előhitelesítés szükséges a fiókhoz, ami nagyobb biztonságot eredményez.
Store-jelszó eltávolítása visszafejthető titkosítással A beállítás eltávolítása a fióktulajdonságokból az AD-ben A beállítás eltávolítása megakadályozza a fiók jelszavának egyszerű visszafejtését.
A jelszó eltávolítása nem kötelező A beállítás eltávolítása a fióktulajdonságokból az AD-ben A beállítás eltávolításához jelszó szükséges a fiókhoz, és segít megelőzni az erőforrásokhoz való jogosulatlan hozzáférést.
Gyenge titkosítással tárolt jelszó eltávolítása A fiók jelszavának alaphelyzetbe állítása A fiók jelszavának módosítása erősebb titkosítási algoritmusok használatát teszi lehetővé a védelemhez.
Kerberos AES-titkosítás támogatásának engedélyezése AES-funkciók engedélyezése a fióktulajdonságokon az AD-ben A fiókon AES128_CTS_HMAC_SHA1_96 vagy AES256_CTS_HMAC_SHA1_96 engedélyezése segít megelőzni a gyengébb titkosítási titkosítások használatát a Kerberos-hitelesítéshez.
Távolítsa el a Kerberos DES-titkosítási típusok használata ehhez a fiókhoz való használatát A beállítás eltávolítása a fióktulajdonságokból az AD-ben A beállítás eltávolításával erősebb titkosítási algoritmusok használhatók a fiók jelszavához.
Egyszerű szolgáltatásnév (SPN) eltávolítása A beállítás eltávolítása a fióktulajdonságokból az AD-ben Ha egy felhasználói fiók spN-készlettel van konfigurálva, az azt jelenti, hogy a fiók egy vagy több egyszerű szolgáltatásnévhez van társítva. Ez általában akkor fordul elő, ha egy szolgáltatás telepítve vagy regisztrálva van egy adott felhasználói fiókban való futtatáshoz, és az egyszerű szolgáltatásnév a Kerberos-hitelesítés szolgáltatás-munkaterületének egyedi azonosítására jön létre. Ez a javaslat csak bizalmas fiókok esetében jelenik meg.
Új jelszó kérése a SmartcardRequired beállítás eltávolítása után A fiók jelszavának alaphelyzetbe állítása A fiók jelszavának módosítása a SmartcardRequired UAC-jelző eltávolítása után biztosítja, hogy az aktuális biztonsági szabályzatok szerint legyen beállítva. Ez segít megelőzni a jelszavak esetleges felfedését, amelyek akkor jönnek létre, amikor az intelligens kártyák kényszerítése még aktív volt.

  1. Használja a UserAccountControl (UAC) jelzőt a felhasználói fiókprofilok kezeléséhez. További információ:

Következő lépések

  • Last updated on