보안 평가: 안전하지 않은 계정 특성
안전하지 않은 계정 특성이란?
Microsoft Defender for Identity는 환경을 지속적으로 모니터링하여 보안 위험을 노출하는 특성 값이 있는 계정을 식별하고 이러한 계정을 보고하여 환경을 보호하는 데 도움을 줍니다.
안전하지 않은 계정 특성은 어떤 위험을 초래합니까?
계정 특성을 보호하지 못하는 조직은 악의적인 행위자를 위해 문을 열어 둡니다.
악의적인 행위자는 도둑과 마찬가지로 어떤 환경에서도 가장 쉽고 조용한 방법을 찾는 경우가 많습니다. 안전하지 않은 특성으로 구성된 계정은 공격자에게 기회의 창이며 위험을 노출할 수 있습니다.
예를 들어 PasswordNotRequired 특성을 사용하도록 설정하면 공격자가 계정에 쉽게 액세스할 수 있습니다. 계정에 다른 리소스에 대한 권한 있는 액세스 권한이 있는 경우 특히 위험합니다.
이 보안 평가를 사용할 어떻게 할까요? 있나요?
권장되는 작업을 https://security.microsoft.com/securescore?viewid=actions 검토하여 보안되지 않은 특성이 있는 계정을 검색합니다.
관련 특성을 수정하거나 제거하여 해당 사용자 계정에 대해 적절한 조치를 취합니다.
수정
다음 표에 설명된 대로 관련 특성에 적합한 수정을 사용합니다.
| 권장 작업 | 수정 | 이유 |
|---|---|---|
| Remove Kerberos 사전 인증 필요 없음 | AD(Active Directory)의 계정 속성에서 이 설정을 제거합니다. | 이 설정을 제거하려면 계정에 대한 Kerberos 사전 인증이 필요하므로 보안이 향상됩니다. |
| 되돌릴 수 있는 암호화를 사용하여 저장소 암호 제거 | AD의 계정 속성에서 이 설정 제거 | 이 설정을 제거하면 계정의 암호를 쉽게 해독할 수 없습니다. |
| 암호 제거 필요 없음 | AD의 계정 속성에서 이 설정 제거 | 이 설정을 제거하려면 계정과 함께 암호를 사용해야 하며 리소스에 대한 무단 액세스를 방지할 수 있습니다. |
| 약한 암호화로 저장된 암호 제거 | 계정 암호 다시 설정 | 계정의 암호를 변경하면 더 강력한 암호화 알고리즘을 보호에 사용할 수 있습니다. |
| Kerberos AES 암호화 지원 사용 | AD의 계정 속성에서 AES 기능 사용 | 계정에서 AES128_CTS_HMAC_SHA1_96 또는 AES256_CTS_HMAC_SHA1_96 사용하도록 설정하면 Kerberos 인증에 약한 암호화를 사용하는 것을 방지할 수 있습니다. |
| 이 계정에 Kerberos DES 암호화 유형 사용 제거 | AD의 계정 속성에서 이 설정 제거 | 이 설정을 제거하면 계정의 암호에 더 강력한 암호화 알고리즘을 사용할 수 있습니다. |
| SPN(서비스 사용자 이름) 제거 | AD의 계정 속성에서 이 설정 제거 | 사용자 계정이 SPN 집합으로 구성된 경우 계정이 하나 이상의 SPN과 연결되었음을 의미합니다. 이는 일반적으로 특정 사용자 계정으로 실행하도록 서비스를 설치하거나 등록하고 Kerberos 인증을 위한 서비스 작업 영역을 고유하게 식별하기 위해 SPN을 만들 때 발생합니다. 이 권장 사항은 중요한 계정에 대해서만 표시되었습니다. |
UserAccountControl 플래그를 사용하여 사용자 계정 프로필을 조작합니다. 자세한 내용은 다음을 참조하세요.
- Windows Server 문제 해결 문서.
- 사용자 속성 - 계정 섹션
- Active Directory 관리시제 센터 개선 사항 소개(수준 100)
- Active Directory 관리istration Center
참고 항목
평가는 거의 실시간으로 업데이트되지만 점수 및 상태 24시간마다 업데이트됩니다. 영향을 받는 엔터티 목록은 권장 사항을 구현한 후 몇 분 이내에 업데이트되지만 상태 완료됨으로 표시될 때까지 시간이 걸릴 수 있습니다.