Beveiligingsevaluatie: Onbeveiligde accountkenmerken
Wat zijn niet-beveiligde accountkenmerken?
Microsoft Defender for Identity bewaakt uw omgeving continu om accounts te identificeren met kenmerkwaarden die een beveiligingsrisico blootstellen en rapporteert over deze accounts om u te helpen bij het beveiligen van uw omgeving.
Welk risico vormen niet-beveiligde accountkenmerken?
Organisaties die hun accountkenmerken niet kunnen beveiligen, laten de deur ontgrendeld voor kwaadwillende actoren.
Kwaadwillende actoren, net als dieven, zoeken vaak naar de eenvoudigste en rustigste manier in elke omgeving. Accounts die zijn geconfigureerd met onbeveiligde kenmerken, zijn kansen voor aanvallers en kunnen risico's blootstellen.
Als het kenmerk PasswordNotRequired bijvoorbeeld is ingeschakeld, heeft een aanvaller eenvoudig toegang tot het account. Dit is met name riskant als het account bevoegde toegang heeft tot andere resources.
Hoe kan ik deze beveiligingsevaluatie gebruiken?
Bekijk de aanbevolen actie om https://security.microsoft.com/securescore?viewid=actions te ontdekken welke van uw accounts onbeveiligde kenmerken hebben.
Voer de juiste actie uit voor deze gebruikersaccounts door de relevante kenmerken te wijzigen of te verwijderen.
Herstel
Gebruik het herstel dat geschikt is voor het relevante kenmerk, zoals beschreven in de volgende tabel.
Aanbevolen actie | Herstel | Reden |
---|---|---|
Voor verwijderen is geen kerberos-verificatie vereist | Deze instelling verwijderen uit accounteigenschappen in Active Directory (AD) | Voor het verwijderen van deze instelling is een Kerberos-verificatie vooraf vereist voor het account, wat resulteert in verbeterde beveiliging. |
Store-wachtwoord verwijderen met omkeerbare versleuteling | Deze instelling verwijderen uit accounteigenschappen in AD | Als u deze instelling verwijdert, voorkomt u dat het wachtwoord van het account eenvoudig kan worden ontsleuteld. |
Wachtwoord verwijderen is niet vereist | Deze instelling verwijderen uit accounteigenschappen in AD | Als u deze instelling verwijdert, moet een wachtwoord worden gebruikt met het account en kan onbevoegde toegang tot resources worden voorkomen. |
Wachtwoord verwijderen dat is opgeslagen met zwakke versleuteling | Het accountwachtwoord opnieuw instellen | Als u het wachtwoord van het account wijzigt, kunnen sterkere versleutelingsalgoritmen worden gebruikt voor de beveiliging. |
Ondersteuning voor Kerberos AES-versleuteling inschakelen | AES-functies inschakelen voor de accounteigenschappen in AD | Het inschakelen van AES128_CTS_HMAC_SHA1_96 of AES256_CTS_HMAC_SHA1_96 op het account helpt het gebruik van zwakkere versleutelingscoderingen voor Kerberos-verificatie te voorkomen. |
Kerberos DES-versleutelingstypen voor dit account verwijderen | Deze instelling verwijderen uit accounteigenschappen in AD | Als u deze instelling verwijdert, kan het gebruik van sterkere versleutelingsalgoritmen voor het wachtwoord van het account worden gebruikt. |
Een SPN (Service Principal Name) verwijderen | Deze instelling verwijderen uit accounteigenschappen in AD | Wanneer een gebruikersaccount is geconfigureerd met een SPN-set, betekent dit dat het account is gekoppeld aan een of meer SPN's. Dit gebeurt meestal wanneer een service is geïnstalleerd of geregistreerd om te worden uitgevoerd onder een specifiek gebruikersaccount en de SPN wordt gemaakt om de servicewerkruimte voor Kerberos-verificatie uniek te identificeren. Deze aanbeveling werd alleen weergegeven voor gevoelige accounts. |
Gebruik de vlag UserAccountControl om gebruikersaccountprofielen te bewerken. Zie voor meer informatie:
- Documentatie voor het oplossen van problemen met Windows Server.
- Gebruikerseigenschappen - Accountsectie
- Inleiding tot verbeteringen in Active Directory Beheer istrative Center (niveau 100)
- Active Directory Beheer istration Center
Notitie
Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen een paar minuten na de implementatie van de aanbevelingen wordt bijgewerkt, kan de status nog steeds even duren totdat deze is gemarkeerd als Voltooid.