Sikkerhetsvurdering: Usikre kontoattributter
Hva er usikre kontoattributter?
Microsoft Defender for identitet overvåker kontinuerlig miljøet ditt for å identifisere kontoer med attributtverdier som viser en sikkerhetsrisiko, og rapporter om disse kontoene for å hjelpe deg med å beskytte miljøet ditt.
Hvilken risiko utgjør usikre kontoattributter?
Organisasjoner som ikke klarer å sikre kontoattributtene sine, lar døren stå ulåst for ondsinnede aktører.
Ondsinnede skuespillere, mye som tyver, ser ofte etter den enkleste og roligste veien inn i alle miljøer. Kontoer som er konfigurert med usikre attributter, er vinduer med muligheter for angripere og kan avsløre risikoer.
Hvis for eksempel PasswordNotRequired-attributtet er aktivert, kan en angriper enkelt få tilgang til kontoen. Dette er spesielt risikabelt hvis kontoen har privilegert tilgang til andre ressurser.
Hvordan bruke denne sikkerhetsvurderingen?
Se gjennom den anbefalte handlingen for https://security.microsoft.com/securescore?viewid=actions å finne ut hvilke av kontoene dine som har usikre attributter.
Utfør nødvendige handlinger på disse brukerkontoene ved å endre eller fjerne de relevante attributtene.
Utbedring
Bruk utbedringen som passer til det relevante attributtet, som beskrevet i tabellen nedenfor.
Anbefalt handling | Utbedring | Grunn |
---|---|---|
Fjern Krever ikke Kerberos-forhåndsgodkjenning | Fjern denne innstillingen fra kontoegenskaper i Active Directory (AD) | Hvis du fjerner denne innstillingen, kreves det en Kerberos-forhåndsgodkjenning for kontoen som resulterer i forbedret sikkerhet. |
Fjern Store-passord ved hjelp av reversibel kryptering | Fjern denne innstillingen fra kontoegenskaper i AD | Fjerning av denne innstillingen hindrer enkel dekryptering av kontoens passord. |
Fjern passord er ikke nødvendig | Fjern denne innstillingen fra kontoegenskaper i AD | Hvis du fjerner denne innstillingen, må du bruke et passord med kontoen og hindre uautorisert tilgang til ressurser. |
Fjern passord lagret med svak kryptering | Tilbakestille kontopassordet | Hvis du endrer kontoens passord, kan sterkere krypteringsalgoritmer brukes til beskyttelsen. |
Aktiver Kerberos AES-krypteringsstøtte | Aktiver AES-funksjoner på kontoegenskapene i AD | Aktivering av AES128_CTS_HMAC_SHA1_96 eller AES256_CTS_HMAC_SHA1_96 på kontoen bidrar til å forhindre bruk av svakere krypteringssitater for Kerberos-godkjenning. |
Fjern Bruk Kerberos DES-krypteringstyper for denne kontoen | Fjern denne innstillingen fra kontoegenskaper i AD | Hvis du fjerner denne innstillingen, kan du bruke sterkere krypteringsalgoritmer for kontoens passord. |
Fjern et tjenestekontohavernavn (SPN) | Fjern denne innstillingen fra kontoegenskaper i AD | Når en brukerkonto er konfigurert med et SPN-sett, betyr det at kontoen er knyttet til én eller flere SPN-er. Dette skjer vanligvis når en tjeneste er installert eller registrert for å kjøre under en bestemt brukerkonto, og SPN-en opprettes for å identifisere tjenestearbeidsområdet for Kerberos-godkjenning unikt. Denne anbefalingen viste bare for sensitive kontoer. |
Bruk UserAccountControl-flagget til å manipulere brukerkontoprofiler. Hvis du vil ha mer informasjon, kan du se:
- Windows Server feilsøkingsdokumentasjon.
- Brukeregenskaper – kontoinndeling
- Innføring i forbedringer i Administrasjonssenter for Active Directory (nivå 100)
- Administrasjonssenter for Active Directory
Obs!
Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.