Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Anche se l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe comunque richiedere tempo fino a quando non viene contrassegnato come Completato.
Rimuovere gli account Active Directory non aggiornati (anteprima)
Descrizione
Questa raccomandazione elenca tutti gli account utente in Active Directory non aggiornati, ovvero non hanno effettuato l'accesso negli ultimi 90 giorni.
Account esclusi:
- Account di assistenza.
- Account disabilitati o eliminati.
Impatto sugli utenti
Gli account non aggiornati rappresentano un rischio per la sicurezza perché forniscono potenziali obiettivi per gli utenti malintenzionati senza essere monitorati attivamente. Gli account non aggiornati compromessi possono essere usati per ottenere l'accesso non autorizzato, spostarsi lateralmente nell'ambiente o per inoltrare privilegi. La rimozione o la disabilitazione riduce l'esposizione non necessaria e rafforza il comportamento di sicurezza generale.
Implementazione
Esaminare le entità esposte per identificare gli account utente non aggiornati che non hanno eseguito l'accesso negli ultimi 90 giorni.
Disabilitare l'account se viene confermato che non è usato o rimuoverlo completamente in base ai criteri di conservazione.
Disabilitare ed eliminare gli account utente senza accessi per 90 giorni dopo un periodo di monitoraggio.
Rimuovere gli account per gli ex dipendenti per impedire l'accesso non autorizzato.
Microsoft Entra ID account utente con privilegi con privilegi anche in Active Directory (anteprima)
Descrizione
Questa raccomandazione elenca tutti gli account utente con ruoli con privilegi in Microsoft Entra ID (ad esempio Amministratore globale) e sono anche membri di gruppi di Active Directory con privilegi elevati(ad esempio, Domain Admins, Enterprise Admins). Questi account con doppio privilegio aumentano significativamente la superficie di attacco dell'organizzazione.
Nota
Guest, identità esterne e account non sincronizzati con Microsoft Entra ID sono esclusi da questo report. Sono inclusi solo gli account abilitati e che contengono privilegi sia nell'ID Entra che in Active Directory.
Impatto sugli utenti
Gli account con privilegi sia in Microsoft Entra ID che in Active Directory possono essere sfruttati dagli utenti malintenzionati per ottenere il controllo completo sugli ambienti cloud e locali. La compromissione di un singolo account potrebbe consentire lo spostamento laterale, l'escalation dei privilegi e l'accesso alle risorse sensibili in ambienti ibridi. Gli account con doppio privilegio sono obiettivi di alto valore e possono accelerare gli attacchi se non gestiti correttamente.
Implementazione
Esaminare l'elenco delle entità esposte per identificare gli account con accesso con privilegi sia in Microsoft Entra ID che in Active Directory.
Correggere l'account riducendo i privilegi in uno o in entrambi gli ambienti per applicare privilegi minimi. Mantenere i privilegi duali solo se necessario e la giustificazione del documento.
È consigliabile separare i ruoli cloud e locali tra account diversi o implementare l'accesso JUST-in-time per ridurre l'esposizione permanente.
Usare Microsoft Entra Privileged Identity Management (PIM) per applicare i flussi di lavoro di approvazione e limitare l'accesso permanente per gli account che devono mantenere privilegi elevati.
Ad esempio:
Un utente che è un amministratore globale in Microsoft Entra ID e un Amministrazione di dominio in Active Directory deve avere uno dei ruoli ridotti o sostituiti con l'accesso amministrativo delegato.
Se sono necessari due privilegi per le operazioni critiche, abilitare MFA, monitorare attentamente gli account di accesso ed esaminare regolarmente le appartenenze.
Identificare gli account del servizio nei gruppi con privilegi
Descrizione
Elenca gli account del servizio Active Directory all'interno dell'ambiente che sono membri di gruppi con privilegi, inclusa l'appartenenza diretta e annidata.
Impatto sugli utenti
Gli account del servizio hanno spesso credenziali di lunga durata e vengono usati da applicazioni, script o attività automatizzate. Quando questi account sono membri di gruppi con privilegi elevati (ad esempio, Domain Admins o Enterprise Admins), aumentano la superficie di attacco dell'organizzazione. La compromissione di uno di questi account può concedere a un utente malintenzionato un ampio accesso amministrativo a sistemi e dati critici. Inoltre, poiché gli account del servizio non sono associati a un utente specifico e spesso mancano di monitoraggio interattivo, le attività dannose eseguite con questi account potrebbero passare inosservate, ritardando il rilevamento e la risposta.
Implementazione
Esaminare le entità esposte per identificare gli account del servizio Active Directory membri di gruppi con privilegi, ad esempio Domain Admins, Enterprise Admins o Administrators.
Rimuovere l'account dal gruppo con privilegi se l'accesso con privilegi elevati non è necessario o disabilitarlo se non è usato.
Ad esempio:
Account del servizio inutilizzato o disattivato:
Disabilitare l'account in Active Directory dopo aver confermato l'assenza di accessi o dipendenze recenti.
Monitorare per un breve periodo (7-14 giorni). Se inattivo, eliminarlo in base ai criteri.
Account del servizio attivo senza la necessità di diritti di amministratore:
Rimuoverlo dal gruppo con privilegi esposto nel report.
Concedere solo l'accesso minimo richiesto tramite autorizzazioni delegate o gruppi di sicurezza con ambito.
Sostituire gli account legacy:
- Eseguire la migrazione degli account del servizio a account del servizio gestito di gruppo (gMSA) per la rotazione automatica delle password e una riduzione dell'esposizione delle credenziali.
Account che devono rimanere con privilegi
Limitare la posizione in cui è possibile accedere usando la proprietà Accedi a .
Limitare gli accessi interattivi tramite Criteri di gruppo e abilitare il controllo mirato per la propria attività.
Richiedere la proprietà, la documentazione e la revisione periodica dell'appartenenza con privilegi.
Individuare gli account nei gruppi di operatori predefiniti
Descrizione
Elenca gli account di Active Directory (utenti, account del servizio e gruppi) che sono membri di gruppi di operatori predefiniti, ad esempio Operatori server, Operatori di backup, Operatori di stampa o Operatori account, inclusa l'appartenenza diretta e indiretta. Questi gruppi concedono privilegi elevati che possono essere usati per compromettere i controller di dominio o i server sensibili.
Impatto sugli utenti
I gruppi di operatori offrono un ampio controllo su server, file e operazioni di sistema. I membri di questi gruppi possono eseguire azioni amministrative, ad esempio l'arresto dei servizi critici, la modifica dei file o il ripristino dei dati, che possono essere sfruttati per l'escalation dei privilegi o l'aumento della persistenza. Poiché questi gruppi sono raramente necessari negli ambienti moderni, lasciare account in essi inutilmente aumenta il rischio di abuso di privilegi o spostamento laterale.
Implementazione
Esaminare l'elenco delle entità esposte per identificare quali degli account AD sono membri di uno dei gruppi di operatori predefiniti, ad esempio Server Operators, Backup Operators, Print Operators e Account Operators.
Rimuovere l'account dal gruppo di operatori se l'accesso con privilegi elevati non è necessario o disabilitarlo se non è usato.
Ad esempio:
Rimuovere l'appartenenza o disabilitare il servizio o l'account amministratore aggiunti agli operatori di backup per un processo di backup legacy che non viene più eseguito.
Se un account esegue ancora attività operative ma non richiede diritti di operatore elevati, delegare solo le autorizzazioni specifiche necessarie, ad esempio il ripristino dei file o la gestione della stampa in un singolo server.
Se l'appartenenza al gruppo di operatori è essenziale per una funzione amministrativa specifica, monitorare l'account, limitarlo agli host necessari ed esaminarlo periodicamente per confermare la necessità in corso.
Account con ID gruppo primario non predefinito
Descrizione
Questa raccomandazione elenca tutti i computer e gli account utente il cui attributo primaryGroupId (PGID) non è l'impostazione predefinita per gli utenti e i computer di dominio in Active Directory.
Impatto sugli utenti
L'attributo primaryGroupId di un account utente o computer concede l'appartenenza implicita a un gruppo. L'appartenenza tramite questo attributo non viene visualizzata nell'elenco dei membri del gruppo in alcune interfacce. Questo attributo può essere usato come tentativo di nascondere l'appartenenza ai gruppi. Potrebbe essere un modo furtivo per un utente malintenzionato di inoltrare privilegi senza attivare il normale controllo delle modifiche all'appartenenza ai gruppi.
Implementazione
Esaminare l'elenco delle entità esposte per individuare quali account hanno un primaryGroupId sospetto.
Eseguire l'azione appropriata su tali account reimpostando l'attributo sui valori predefiniti o aggiungendo il membro al gruppo pertinente:
Account utente: 513 (utenti di dominio) o 514 (guest di dominio);
Account computer: 515 (computer di dominio);
Account controller di dominio: 516 (controller di dominio);
Account controller di dominio di sola lettura: 521 (controller di dominio di sola lettura).
Rimuovere i diritti di accesso per gli account sospetti con l'autorizzazione SDHolder Amministrazione
Descrizione
La presenza di account non sensibili con Amministrazione autorizzazioni SDHolder (titolare del descrittore di sicurezza) può avere implicazioni di sicurezza significative, tra cui:
- Con conseguente escalation dei privilegi non autorizzati, in cui gli utenti malintenzionati possono sfruttare questi account per ottenere l'accesso amministrativo e compromettere i sistemi o i dati sensibili
- Aumentare la superficie di attacco, rendendo più difficile tenere traccia e attenuare gli eventi imprevisti di sicurezza, esponendo potenzialmente l'organizzazione a rischi maggiori.
Implementazione
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per Rimuovere i diritti di accesso per gli account sospetti con l'autorizzazione SDHolder Amministrazione.
Ad esempio:
Esaminare l'elenco delle entità esposte per individuare quali degli account senza distinzione hanno l'autorizzazione SDHolder Amministrazione.
Eseguire le azioni appropriate su tali entità rimuovendo i diritti di accesso con privilegi. Ad esempio:
- Usare lo strumento ADSI Edit per connettersi al controller di dominio.
- Passare al contenitore CN=System>CN=AdminSDHolder e aprire le proprietà del contenitore CN=AdminSDHolder .
- Selezionare la scheda >Sicurezza avanzata e rimuovere le entità senza distinzione. Queste sono le entità contrassegnate come esposte nella valutazione della sicurezza.
Per altre informazioni, vedere Active Directory Service Interfaces e la documentazione di ADSI Edit
Per ottenere il punteggio completo, correggere tutte le entità esposte.
Modificare la password per l'account krbtgt
Descrizione
Questa raccomandazione elenca qualsiasi account krbtgt all'interno dell'ambiente con password impostata per l'ultima volta oltre 180 giorni fa.
Impatto sugli utenti
L'account krbtgt in Active Directory è un account predefinito usato dal servizio di autenticazione Kerberos. Crittografa e firma tutti i ticket Kerberos, abilitando l'autenticazione sicura all'interno del dominio. L'account non può essere eliminato e la protezione è fondamentale, in quanto la compromissione potrebbe consentire agli utenti malintenzionati di creare ticket di autenticazione.
Se la password dell'account KRBTGT viene compromessa, un utente malintenzionato può usare il relativo hash per generare ticket di autenticazione Kerberos validi, consentendo loro di eseguire attacchi Golden Ticket e ottenere l'accesso a qualsiasi risorsa nel dominio di Active Directory. Poiché Kerberos si basa sulla password KRBTGT per firmare tutti i ticket, il monitoraggio e la modifica periodica di questa password sono essenziali per attenuare il rischio di tali attacchi.
Implementazione
Esaminare l'elenco delle entità esposte per individuare quali degli account krbtgt hanno una password precedente.
Eseguire le azioni appropriate su tali account reimpostando la password due volte per invalidare l'attacco Golden Ticket.
Nota
L'account Kerberos krbtgt in tutti i domini di Active Directory supporta l'archiviazione delle chiavi in tutti i centri di distribuzione chiavi Kerberos.The krbtgt Kerberos account in all Active Directory domains supports key storage in all Kerberos Key Distribution Center (KDC). Per rinnovare le chiavi Kerberos per la crittografia TGT, modificare periodicamente la password dell'account krbtgt .
È consigliabile reimpostare la password due volte, in attesa di almeno 10 ore tra le reimpostazioni. Questo processo invalida i ticket Kerberos esistenti per evitare attacchi Golden Ticket.
Per la procedura ufficiale e supportata, vedere Reimpostare la password di krbtgt.
Modificare la password per l'account locale con credenziali potenzialmente perse (anteprima)
Descrizione
Questo report elenca gli utenti le cui credenziali valide sono state perse. Quando i criminali informatici compromettono password valide di utenti legittimi, i criminali spesso condividono tali credenziali. Questo avviene pubblicandoli pubblicamente sul dark web o incollando siti o negoziando o vendendo le credenziali sul mercato nero. Il servizio credenziali persi da Microsoft acquisisce coppie nome utente/password monitorando siti Web pubblici e scuri e collaborando con i team di sicurezza delle forze dell'ordine dei ricercatori in Microsoft Altre origini attendibili.
Impatto sugli utenti
Quando il servizio acquisisce le credenziali utente dal Dark Web, incollare siti o le origini precedenti un account con credenziali compromesse può essere sfruttato da attori malintenzionati per ottenere l'accesso non autorizzato.
Implementazione
- Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per Modificare la password per gli account con credenziali potenzialmente perse.
- Esaminare l'elenco delle entità esposte per individuare quali password dell'account sono state perse.
- Eseguire le azioni appropriate per tali entità rimuovendo l'account del servizio:
- Aprire la console Utenti e computer di Active Directory (ADUC) e accedere con un account amministratore.
- Passare all'unità organizzativa in cui si trova l'account utente.
- Trovare e selezionare l'account utente che richiede una modifica della password.
- Fare clic con il pulsante destro del mouse sull'account utente, selezionare Reimposta password, immettere la nuova password e confermarla.
Modificare la password dell'account amministratore di dominio predefinito
Descrizione
Questa raccomandazione elenca tutti gli account amministratore di dominio predefiniti all'interno dell'ambiente con password impostata per l'ultima volta oltre 180 giorni fa.
Impatto sugli utenti
L'account amministratore di dominio predefinito è un account AD con privilegi elevati predefinito con controllo completo sul dominio. Non può essere eliminato, ha accesso illimitato ed è fondamentale per la gestione delle risorse del dominio.
L'aggiornamento regolare della password dell'account amministratore predefinito è essenziale a causa dei privilegi elevati, che lo rendono una destinazione primaria per gli utenti malintenzionati. In caso di compromissione, può concedere il controllo non autorizzato sul dominio. Poiché questo account è spesso inutilizzato e la password potrebbe non essere aggiornata di frequente, le modifiche regolari riducono l'esposizione e migliorano la sicurezza.
Implementazione
Esaminare l'elenco delle entità esposte per individuare quali account amministratore di dominio predefiniti hanno una password precedente.
Eseguire le azioni appropriate su tali account reimpostando la password.
Ad esempio:
Entità inattive nei gruppi sensibili
Descrizione
Microsoft Defender per identità individua se determinati utenti sono sensibili e forniscono attributi che emergono se sono inattivi, disabilitati o scaduti.
Tuttavia, gli account sensibili possono anche diventare inattivi se non vengono usati per un periodo di 180 giorni. Le entità sensibili inattive sono obiettivi di opportunità per gli attori malintenzionati di ottenere l'accesso sensibile all'organizzazione.
Per altre informazioni, vedere Tag di entità defender per identità in Microsoft Defender XDR.
Impatto sugli utenti
Le organizzazioni che non riescono a proteggere gli account utente inattivi lasciano la porta aperta al dati sensibili sicuro.
Gli attori malintenzionati, proprio come i ladri, cercano spesso il modo più semplice e silenzioso in qualsiasi ambiente. Un percorso semplice e silenzioso nell'organizzazione consiste nell'uso di account utente e servizio sensibili che non sono più in uso.
Non importa se la causa è il fatturato dei dipendenti o la cattiva gestione delle risorse. Se si ignora questo passaggio, le entità più sensibili dell'organizzazione sono vulnerabili ed esposte.
Implementazione
Esaminare l'azione consigliata all'indirizzo https://security.microsoft.com/securescore?viewid=actions per individuare quali account sensibili sono inattivi.
Eseguire le azioni appropriate su tali account utente rimuovendo i diritti di accesso con privilegi o eliminando l'account.
Rimuovere gli account non amministratori con autorizzazioni DCSync
Descrizione
Gli account con l'autorizzazione DCSync possono avviare la replica di dominio. Gli utenti malintenzionati possono potenzialmente sfruttare la replica di dominio per ottenere l'accesso non autorizzato, modificare i dati del dominio o compromettere l'integrità e la disponibilità dell'ambiente Active Directory.
È fondamentale gestire e limitare con attenzione l'appartenenza a questo gruppo per garantire la sicurezza e l'integrità del processo di replica del dominio.
Implementazione
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per Rimuovere gli account non amministratori con autorizzazioni DCSync.
Esaminare questo elenco di entità esposte per individuare quali account hanno autorizzazioni DCSync e sono anche amministratori non di dominio.
Eseguire le azioni appropriate su tali entità rimuovendo i diritti di accesso con privilegi. Per ottenere il punteggio massimo, correggere tutte le entità esposte.
È possibile accedere a Utenti e computer di Active Directory accedendo al controller di dominio. Per rimuovere le autorizzazioni di DCSync da un account non amministratore:
Aprire Utenti e computer di Active Directory.
Attivare Funzionalità avanzate. Questa operazione è necessaria per visualizzare la scheda Sicurezza negli oggetti di dominio.
Aprire Proprietà di dominio, selezionare il nome di dominio, ad esempio contoso.local, e quindi selezionare Proprietà.
Fare clic sulla scheda Protezione.
Selezionare l'utente o il gruppo di destinazione e quindi selezionare l'utente o l'account del servizio non amministratore che non deve avere queste autorizzazioni.
Deselezionare le autorizzazioni di replica. Scorrere l'elenco "Autorizzazioni per [utente]" deselezionare le autorizzazioni seguenti se sono selezionate:
- Replica delle modifiche alla directory
- Replica di tutte le modifiche alla directory
Selezionare Applica, quindi selezionare OK.
Verificare che gli account con privilegi non siano delegati
Descrizione
Questa raccomandazione elenca tutti gli account con privilegi che non hanno l'impostazione "non delegata" abilitata, evidenziando quelli potenzialmente esposti ai rischi correlati alla delega. Gli account con privilegi sono account che sono membri di un gruppo con privilegi, ad esempio amministratori di dominio, amministratori dello schema e così via.
- Domain Admins
- Amministratori Enterprise
- Account del servizio con privilegi elevati
Impatto sugli utenti
Se il flag sensibile è disabilitato, gli utenti malintenzionati potrebbero sfruttare la delega Kerberos per usare in modo improprio le credenziali dell'account con privilegi, causando accessi non autorizzati, spostamento laterale e potenziali violazioni della sicurezza a livello di rete.
Abilitazione dell'impostazione Questo account è sensibile e non può essere delegato non influisce sulla capacità dell'account di accedere o sulle autorizzazioni assegnate. La restrizione si applica solo agli scenari di delega, ad esempio la delega Kerberos vincolata o non vincolata. Gli account con privilegi, ad esempio Domain Admins o Enterprise Admins, non devono essere delegati, in quanto ciò comporta un rischio di sicurezza significativo. L'abilitazione di questa impostazione consente di evitare attacchi di delega Kerberos garantendo che questi account non possano essere rappresentati.
Raccomandazione per la sicurezza
È consigliabile abilitare questa impostazione per:
Account del servizio Domain Admins Enterprise Admins con privilegi elevati
Evitare di applicare questa impostazione agli account che richiedono la delega per scopi aziendali legittimi, a meno che il modello di delega non venga riprogettato.
Implementazione
- Esaminare l'elenco delle entità esposte per individuare quali degli account con privilegi non hanno il flag di configurazione "questo account è sensibile e non può essere delegato".
- Eseguire le azioni appropriate per tali account:
Account utente:
- Passare alla scheda >AccountOpzioni account.
- Selezionare Account sensibile e non delegabile. Ciò impedisce agli utenti di ottenere l'accesso all'account e modificare le impostazioni di sistema.
Account del dispositivo:
L'approccio più sicuro consiste nell'usare uno script di PowerShell per configurare il dispositivo per impedirne l'uso in qualsiasi scenario di delega, assicurando che le credenziali nel computer non possano essere inoltrate per accedere ad altri servizi.$name = "ComputerA" Get-ADComputer -Identity $name | Set-ADAccountControl -AccountNotDelegated:$trueUn'altra opzione consiste nell'impostare l'attributo
UserAccountControlNOT_DELEGATED = 0x100000su nella scheda Editor attributi per il dispositivo esposto.Ad esempio:
Entità che espongono le credenziali in testo non crittografare
Descrizione
Questa valutazione della sicurezza monitora il traffico per tutte le entità che espongono le credenziali in testo non crittografato e segnala i rischi di esposizione correnti (le entità più interessate) nell'organizzazione con la correzione suggerita.
Impatto sugli utenti
Le entità che espongono le credenziali in testo non crittografati sono rischiose non solo per l'entità esposta in questione, ma per l'intera organizzazione.
L'aumento del rischio è dovuto al fatto che il traffico non sicuro, ad esempio l'associazione semplice LDAP, è altamente vulnerabile all'intercettazione da parte di attacchi malintenzionati al centro. Questi tipi di attacchi comportano attività dannose, inclusa l'esposizione delle credenziali, in cui un utente malintenzionato può sfruttare le credenziali per scopi dannosi.
Implementazione
Esaminare l'azione consigliata all'indirizzo https://security.microsoft.com/securescore?viewid=actions.
Cercare il motivo per cui tali entità usano LDAP in testo non crittografati.
Correggere i problemi e arrestare l'esposizione.
Dopo aver confermato la correzione, è consigliabile richiedere la firma LDAP a livello di controller di dominio. Per altre informazioni sulla firma del server LDAP, vedere Requisiti di firma del server LDAP del controller di dominio.
Nota
Questa valutazione viene aggiornata quasi in tempo reale. I report mostrano le entità interessate degli ultimi 30 giorni. Dopo tale periodo, le entità non più interessate verranno rimosse dall'elenco delle entità esposte.
Utilizzo di Microsoft LAPS
Descrizione
Microsoft "Local Administrator Password Solution" (LAPS) fornisce la gestione delle password dell'account amministratore locale per i computer aggiunti a un dominio. Le password vengono casualizzate e archiviate in Active Directory (AD), protette dagli ACL, quindi solo gli utenti idonei possono leggerle o richiederne la reimpostazione.
Questa valutazione della sicurezza supporta microsoft laps ewindows laps legacy.
Impatto sugli utenti
LAPS offre una soluzione al problema dell'uso di un account locale comune con una password identica in ogni computer di un dominio. LAPS risolve questo problema impostando una password casuale diversa e ruotata per l'account amministratore locale comune in ogni computer del dominio.
LAPS semplifica la gestione delle password consentendo ai clienti di implementare difese più consigliate contro gli attacchi informatici. In particolare, la soluzione riduce il rischio di escalation laterale che si verifica quando i clienti usano la stessa combinazione di account locale amministrativo e password nei computer. LAPS archivia la password per l'account amministratore locale di ogni computer in Active Directory, protetta in un attributo riservato nell'oggetto AD corrispondente del computer. Il computer può aggiornare i propri dati delle password in Active Directory e gli amministratori di dominio possono concedere l'accesso in lettura a utenti o gruppi autorizzati, ad esempio gli amministratori del supporto per le workstation.
Nota
In alcuni casi, Microsoft Entra computer aggiunti ibridi potrebbero ancora essere visualizzati nella valutazione del comportamento di sicurezza anche se LAPS è configurato in Microsoft Entra ID. Ciò può essere dovuto al modo in cui vengono applicati i criteri o al modo in cui il dispositivo ne segnala lo stato. In questo caso, è consigliabile esaminare la configurazione laps in Microsoft Entra ID per verificare che tutti gli elementi siano configurati come previsto. Altri dettagli sono disponibili qui.
Implementazione
Esaminare l'azione consigliata all'indirizzo https://security.microsoft.com/securescore?viewid=actions per individuare quali dei domini hanno alcuni (o tutti) dispositivi Windows compatibili che non sono protetti da LAPS o che non hanno avuto la password gestita laps modificata negli ultimi 60 giorni.
Per i domini parzialmente protetti, selezionare la riga pertinente per visualizzare l'elenco dei dispositivi non protetti da LAPS in tale dominio.
Eseguire le azioni appropriate su tali dispositivi scaricando, installando e configurando o risolvendo i problemi di Microsoft LAPS o Windows LAPS.
Rimuovere le password individuabili negli attributi dell'account Active Directory (anteprima)
Descrizione
Alcuni attributi di testo libero vengono spesso trascurati durante la protezione avanzata, ma sono leggibili da qualsiasi utente autenticato nel dominio. Quando le credenziali o gli indizi vengono erroneamente archiviati in questi attributi, gli utenti malintenzionati possono abusarne per spostarsi lateralmente nell'ambiente o per escalation dei privilegi.
Gli utenti malintenzionati cercano percorsi a basso attrito per espandere l'accesso. Le password esposte in questi attributi rappresentano una facile vittoria perché:
Gli attributi non hanno restrizioni di accesso.
Non vengono monitorati per impostazione predefinita.
Forniscono che gli utenti malintenzionati del contesto possono sfruttare per lo spostamento laterale e l'escalation dei privilegi.
La rimozione delle credenziali esposte da questi attributi riduce il rischio di compromissione dell'identità e rafforza il comportamento di sicurezza dell'organizzazione.
Nota
I risultati possono includere falsi positivi. Convalidare sempre i risultati prima di intervenire.
Microsoft Defender per identità rileva la potenziale esposizione delle credenziali in Active Directory analizzando gli attributi di testo libero di uso comune. Sono inclusi la ricerca di formati di password, hint, 'description', 'info'e campi comuni e 'adminComment' altri indizi contestuali che potrebbero suggerire la presenza di un uso improprio delle credenziali.
Questa raccomandazione usa l'analisi basata su GenAI degli attributi di Active Directory per rilevare:
Password o varianti di testo non crittografato. Ad esempio, '
Password=Summer2025!'Modelli di credenziali, hint di reimpostazione o informazioni sugli account sensibili.
Altri indicatori che suggeriscono un uso improprio operativo dei campi della directory.
Le corrispondenze rilevate vengono visualizzate nel punteggio di sicurezza e nel report di valutazione della sicurezza per la revisione e la correzione.
Implementazione
Per risolvere questa valutazione della sicurezza, seguire questa procedura:
Esaminare l'azione consigliata all'indirizzo https://security.microsoft.com/securescore?viewid=actions per Rimuovere le password individuabili negli attributi dell'account Active Directory.
Esaminare le voci esposte nel report di sicurezza. Identificare qualsiasi contenuto del campo che includa:
Password non crittografato
Istruzioni di reimpostazione o indizi delle credenziali
Informazioni aziendali o di sistema sensibili
Rimuovere le informazioni riservate dai campi degli attributi elencati usando gli strumenti di gestione directory standard, ad esempio PowerShell o ADSI Edit.
Rimuovere completamente le informazioni riservate. Non mascherare solo il valore. L'offuscamento parziale (ad esempio, P@ssw***) può comunque offrire utili indizi per gli utenti malintenzionati.
Rimuovere gli account del servizio non aggiornati (anteprima)
Descrizione
Questa raccomandazione elenca gli account del servizio Active Directory rilevati come non aggiornati negli ultimi 90 giorni.
Impatto sugli utenti
Gli account del servizio inutilizzati creano rischi significativi per la sicurezza, in quanto alcuni di essi possono avere privilegi elevati. Se gli utenti malintenzionati ottengono l'accesso, il risultato può essere un danno sostanziale. Gli account del servizio non aggiornati potrebbero mantenere autorizzazioni elevate o legacy. In caso di compromissione, forniscono agli utenti malintenzionati punti di ingresso discreti nei sistemi critici, concedendo un accesso molto maggiore rispetto a un account utente standard.
Questa esposizione crea diversi rischi:
Accesso non autorizzato ad applicazioni e dati sensibili.
Spostamento laterale attraverso la rete senza rilevamento.
Implementazione
Per usare questa valutazione della sicurezza in modo efficace, seguire questa procedura:
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per Rimuovere l'account del servizio non aggiornato.
Esaminare l'elenco delle entità esposte per individuare quali account del servizio non sono aggiornati e non hanno eseguito alcuna attività di accesso negli ultimi 90 giorni.
Eseguire le azioni appropriate su tali entità rimuovendo l'account del servizio. Ad esempio:
Disabilitare l'account: Evitare qualsiasi utilizzo disabilitando l'account identificato come esposto.
Monitorare l'impatto: Attendere diverse settimane e monitorare i problemi operativi, ad esempio interruzioni del servizio o errori.
Eliminare l'account: Se non vengono rilevati problemi, eliminare l'account e rimuoverlo completamente.
Delega Kerberos non protetta
Descrizione
La delega Kerberos è un'impostazione di delega che consente alle applicazioni di richiedere le credenziali di accesso dell'utente finale per accedere alle risorse per conto dell'utente di origine.
Impatto sugli utenti
La delega Kerberos non protetta offre a un'entità la possibilità di rappresentare l'utente in qualsiasi altro servizio scelto. Si supponga, ad esempio, di avere un sito Web IIS e che l'account del pool di applicazioni sia configurato con delega non vincolata. Il sito Web IIS ha anche l'autenticazione di Windows abilitata, consentendo l'autenticazione Kerberos nativa e il sito usa un SQL Server back-end per i dati aziendali. Con l'account domain Amministrazione, si passa al sito Web IIS e si esegue l'autenticazione. Il sito Web, usando la delega non vincolata, può ottenere un ticket di servizio da un controller di dominio al servizio SQL e farlo nel proprio nome.
Il problema principale con la delega Kerberos è che è necessario considerare attendibile l'applicazione per fare sempre la cosa giusta. Gli attori malintenzionati possono invece forzare l'applicazione a fare la cosa sbagliata. Se si è connessi come amministratore di dominio, il sito può creare un ticket per tutti gli altri servizi desiderata, agendo come amministratore di dominio. Ad esempio, il sito può scegliere un controller di dominio e apportare modifiche al gruppo di amministratori dell'organizzazione . Analogamente, il sito potrebbe acquisire l'hash dell'account KRBTGT o scaricare un file interessante dal reparto Risorse umane. Il rischio è chiaro e le possibilità di delega non sicura sono quasi infinite.
Di seguito è riportata una descrizione del rischio rappresentato dai diversi tipi di delega:
- Delega non vincolata: qualsiasi servizio può essere abusato se una delle voci di delega è sensibile.
- Delega vincolata: le entità vincolate possono essere usate in modo improprio se una delle relative voci di delega è sensibile.
- Delega vincolata basata su risorse: le entità vincolate basate su risorse possono essere abusate se l'entità stessa è sensibile.
Implementazione
Esaminare l'azione consigliata all'indirizzo https://security.microsoft.com/securescore?viewid=actions per individuare quali entità del controller non di dominio sono configurate per la delega Kerberos non protetta.
Eseguire le azioni appropriate per gli utenti a rischio, ad esempio rimuovendo l'attributo non vincolato o modificandolo in una delega vincolata più sicura.
Usare la correzione appropriata per il tipo di delega.
Disabilitare la delega o usare uno dei tipi di delega vincolata Kerberos (KCD) seguenti:
Delega non vincolata
Selezionare Computer attendibile per la delega solo ai servizi specificati.
Specificare i servizi a cui l'account può presentare le credenziali delegate.
Delega vincolata
Limita i servizi che l'account può rappresentare.
Esaminare gli utenti sensibili elencati nelle raccomandazioni e rimuoverli dai servizi a cui l'account interessato può presentare le credenziali delegate.
Delega vincolata basata su risorse (RBCD)
La delega vincolata basata su risorse limita le entità che possono rappresentare questo account. Il KCD basato su risorse viene configurato tramite PowerShell.
È possibile usare i cmdlet Set-ADComputer o Set-ADUser , a seconda che l'account che rappresenta sia un account computer o un account utente o un account del servizio.
Esaminare gli utenti sensibili elencati nelle raccomandazioni e rimuoverli dalla risorsa. Per altre informazioni sulla configurazione di RBCD, vedere Configurare la delega vincolata Kerberos in Microsoft Entra Domain Services.
Attributi della cronologia SID non sicuri
Descrizione
Cronologia SID è un attributo che supporta gli scenari di migrazione. Ogni account utente ha un SID (Security Identifier) associato che viene usato per tenere traccia dell'entità di sicurezza e dell'accesso dell'account durante la connessione alle risorse. Cronologia SID consente di clonare in modo efficace l'accesso di un altro account a un altro ed è utile per garantire che gli utenti mantengano l'accesso quando vengono spostati (migrati) da un dominio a un altro.
La valutazione verifica la presenza di account con attributi di cronologia SID che Microsoft Defender per identità profili a rischio.
Impatto sugli utenti
Le organizzazioni che non riescono a proteggere gli attributi dell'account lasciano la porta aperta per gli attori malintenzionati.
Gli attori malintenzionati, proprio come i ladri, cercano spesso il modo più semplice e silenzioso in qualsiasi ambiente. Gli account configurati con un attributo cronologia SID non sicuro sono finestre di opportunità per gli utenti malintenzionati e possono esporre rischi.
Ad esempio, un account senza distinzione in un dominio può contenere il SID enterprise Amministrazione nella cronologia SID di un altro dominio nel foresta Active Directory, elevando così l'accesso per l'account utente a un Amministrazione di dominio effettivo in tutti i domini della foresta. Se si ha un trust tra foreste senza l'abilitazione del filtro SID (detto anche quarantena), è possibile inserire un SID da un'altra foresta e verrà aggiunto al token utente quando viene autenticato e usato per le valutazioni di accesso.
Implementazione
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per individuare quali account hanno un attributo Cronologia SID non sicuro.
Eseguire le azioni appropriate per rimuovere l'attributo Cronologia SID dagli account usando PowerShell seguendo questa procedura:
Identificare il SID nell'attributo SIDHistory nell'account.
Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistoryRimuovere l'attributo SIDHistory usando il SID identificato in precedenza.
Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
Attributi di account non sicuri
Descrizione
Microsoft Defender per identità monitora continuamente l'ambiente per identificare gli account con valori di attributo che espongono un rischio per la sicurezza e segnala questi account per facilitare la protezione dell'ambiente.
Impatto sugli utenti
Le organizzazioni che non riescono a proteggere gli attributi dell'account lasciano la porta aperta per gli attori malintenzionati.
Gli attori malintenzionati, proprio come i ladri, cercano spesso il modo più semplice e silenzioso in qualsiasi ambiente. Gli account configurati con attributi non sicuri sono finestre di opportunità per gli utenti malintenzionati e possono esporre rischi.
Ad esempio, se l'attributo PasswordNotRequired è abilitato, un utente malintenzionato può accedere facilmente all'account. Ciò è particolarmente rischioso se l'account ha accesso con privilegi ad altre risorse.
Implementazione
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per individuare quali account hanno attributi non sicuri.
Eseguire l'azione appropriata su tali account utente modificando o rimuovendo gli attributi pertinenti.
Usare la correzione appropriata per l'attributo pertinente, come descritto nella tabella seguente:
| Azione consigliata | Bonifica | Motivo |
|---|---|---|
| Rimuovi Non richiedere la preautenticazione Kerberos | Rimuovere questa impostazione dalle proprietà dell'account in Active Directory (AD) | La rimozione di questa impostazione richiede una pre-autenticazione Kerberos per l'account, con conseguente miglioramento della sicurezza. |
| Rimuovere la password dello Store usando la crittografia reversibile | Rimuovere questa impostazione dalle proprietà dell'account in Active Directory | La rimozione di questa impostazione impedisce una facile decrittografia della password dell'account. |
| Rimuovi password non necessaria | Rimuovere questa impostazione dalle proprietà dell'account in Active Directory | La rimozione di questa impostazione richiede l'uso di una password con l'account e consente di impedire l'accesso non autorizzato alle risorse. |
| Rimuovere la password archiviata con crittografia debole | Reimpostare la password dell'account | La modifica della password dell'account consente di usare algoritmi di crittografia più avanzati per la protezione. |
| Abilitare il supporto della crittografia AES Kerberos | Abilitare le funzionalità AES nelle proprietà dell'account in AD | L'abilitazione di AES128_CTS_HMAC_SHA1_96 o AES256_CTS_HMAC_SHA1_96 nell'account consente di evitare l'uso di crittografie di crittografia più deboli per l'autenticazione Kerberos. |
| Rimuovere Usare i tipi di crittografia DES Kerberos per questo account | Rimuovere questa impostazione dalle proprietà dell'account in Active Directory | La rimozione di questa impostazione consente l'uso di algoritmi di crittografia più avanzati per la password dell'account. |
| Rimuovere un nome dell'entità servizio (SPN) | Rimuovere questa impostazione dalle proprietà dell'account in Active Directory | Quando un account utente è configurato con un set spn, significa che l'account è stato associato a uno o più nomi SPN. Ciò si verifica in genere quando un servizio viene installato o registrato per l'esecuzione con un account utente specifico e il nome SPN viene creato per identificare in modo univoco l'area di lavoro del servizio per l'autenticazione Kerberos. Questa raccomandazione è stata mostrata solo per gli account sensibili. |
| Reimpostare la password come impostazione SmartcardRequired rimossa | Reimpostare la password dell'account | La modifica della password dell'account dopo la rimozione del flag SmartcardRequired UAC garantisce che sia stata impostata nei criteri di sicurezza correnti. Ciò consente di evitare la potenziale esposizione da password create quando l'imposizione delle smart card era ancora attiva. |
Usare il flag UserAccountControl (UAC) per modificare i profili dell'account utente. Per altre informazioni, vedere: