Delen via

Evaluaties van beveiligingspostuur voor accounts

Opmerking

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen een paar minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren totdat deze is gemarkeerd als Voltooid.

Serviceaccounts in bevoorrechte groepen identificeren

Beschrijving

Een lijst met Active Directory-serviceaccounts in uw omgeving die lid zijn van bevoorrechte groepen, inclusief direct en geneste lidmaatschap.

Gebruikersimpact

Serviceaccounts hebben vaak referenties met een lange levensduur en worden gebruikt door toepassingen, scripts of geautomatiseerde taken. Wanneer deze accounts lid zijn van groepen met hoge bevoegdheden (bijvoorbeeld Domeinbeheerders of Ondernemingsbeheerders), vergroten ze de kwetsbaarheid voor aanvallen van de organisatie. Inbreuk op een van deze accounts kan een aanvaller brede beheerderstoegang verlenen tot kritieke systemen en gegevens. Omdat serviceaccounts niet zijn gekoppeld aan een specifieke gebruiker en vaak geen interactieve bewaking hebben, kunnen schadelijke activiteiten die onder deze accounts worden uitgevoerd, onopgemerkt blijven, waardoor detectie en reactie worden vertraagd.

Uitvoering

  1. Controleer de weergegeven entiteiten om Active Directory-serviceaccounts te identificeren die lid zijn van bevoorrechte groepen, zoals domeinadministrators, ondernemingsadministrators of beheerders.

  2. Verwijder het account uit de groep met bevoegdheden als er geen verhoogde toegang is vereist, of schakel het account uit als het niet is gebruikt.

Bijvoorbeeld:

  • Ongebruikt of buiten gebruik gesteld serviceaccount:

    • Schakel het account in Active Directory uit nadat u hebt bevestigd dat er geen recente aanmeldingen of afhankelijkheden zijn.

    • Monitor gedurende een korte periode (7-14 dagen). Als deze inactief is, verwijdert u deze volgens uw beleid.

  • Actief serviceaccount zonder beheerdersrechten:

    • Verwijder deze uit de bevoegde groep zoals weergegeven in het rapport.

    • Alleen de minimaal vereiste toegang verlenen via gedelegeerde machtigingen of beveiligingsgroepen met een bereik.

  • Verouderde accounts vervangen:

    • Migreer serviceaccounts naar gMSA (Group Managed Service Accounts) voor automatische wachtwoordrotatie en verminderde blootstelling aan referenties.

  • Accounts die bevoegd moeten blijven

    • Beperken waar ze zich kunnen aanmelden met behulp van de eigenschap Aanmelden bij .

    • Beperk interactieve aanmeldingen via groepsbeleid en schakel gerichte controle in voor hun activiteit.

    • Eigendom, documentatie en periodieke beoordeling van het bevoegde lidmaatschap vereisen.

Accounts zoeken in ingebouwde operatorgroepen

Beschrijving

Een lijst met Active Directory-accounts (gebruikers, serviceaccounts en groepen) die lid zijn van ingebouwde operatorgroepen, zoals serveroperators, back-upoperators, afdrukoperators of accountoperators, inclusief direct en indirect lidmaatschap. Deze groepen verlenen verhoogde bevoegdheden die kunnen worden gebruikt om domeincontrollers of gevoelige servers in gevaar te komen.

Gebruikersimpact

Operatorgroepen bieden uitgebreide controle over servers, bestanden en systeembewerkingen. Leden van deze groepen kunnen beheeracties uitvoeren, zoals het stoppen van kritieke services, het wijzigen van bestanden of het herstellen van gegevens, die kunnen worden misbruikt om bevoegdheden te escaleren of persistentie te verkrijgen. Omdat deze groepen zelden nodig zijn in moderne omgevingen, neemt het risico op misbruik van bevoegdheden of zijdelingse verplaatsing van accounts onnodig toe.

Uitvoering

  1. Bekijk de lijst met weergegeven entiteiten om te bepalen welke van uw AD-accounts lid zijn van een van de ingebouwde operatorgroepen (bijvoorbeeld Serveroperators, Back-upoperators, Afdrukoperators en Accountoperators).

  2. Verwijder het account uit de operatorgroep als verhoogde toegang niet is vereist of schakel het account uit als het niet is gebruikt.

Bijvoorbeeld:

  • Verwijder het lidmaatschap of schakel het service- of beheerdersaccount uit dat is toegevoegd aan Back-upoperators voor een verouderd back-upproces dat niet meer wordt uitgevoerd.

  • Als een account nog steeds operationele taken uitvoert, maar geen uitgebreide operatorrechten vereist, delegeert u alleen de specifieke machtigingen die het nodig heeft (bijvoorbeeld bestandsherstel of afdrukbeheer op één server).

  • Als lidmaatschap van een operatorgroep essentieel is voor een specifieke beheerfunctie, controleert u het account, beperkt u het tot vereiste hosts en controleert u het regelmatig om de voortdurende noodzaak te bevestigen.

Accounts met niet-standaard primaire groeps-id

Beschrijving

In deze aanbeveling worden alle computers en gebruikersaccounts vermeld waarvan het kenmerk primaryGroupId (PGID) niet de standaardwaarde is voor domeingebruikers en computers in Active Directory.

Gebruikersimpact

Het kenmerk primaryGroupId van een gebruikers- of computeraccount verleent impliciet lidmaatschap aan een groep. Lidmaatschap via dit kenmerk wordt niet weergegeven in de lijst met groepsleden in sommige interfaces. Dit kenmerk kan worden gebruikt als een poging om groepslidmaatschap te verbergen. Het is mogelijk een verborgen manier voor een aanvaller om bevoegdheden te escaleren zonder normale controle voor wijzigingen in groepslidmaatschap te activeren. 

Uitvoering

  1. Bekijk de lijst met blootgestelde entiteiten om te ontdekken welke van uw accounts een verdachte primaryGroupId hebben.  

  2. Voer de juiste actie uit voor deze accounts door hun kenmerk opnieuw in te stellen op de standaardwaarden of door het lid toe te voegen aan de relevante groep:

  • Gebruikersaccounts: 513 (domeingebruikers) of 514 (domeingasten);

  • Computeraccounts: 515 (domeincomputers);

  • Domeincontrolleraccounts: 516 (domeincontrollers);

  • Alleen-lezen domeincontrolleraccounts (RODC): 521 (alleen-lezen domeincontrollers).

Toegangsrechten verwijderen voor verdachte accounts met de machtiging Beheer SDHolder

Beschrijving

Het hebben van niet-gevoelige accounts met Beheer SDHolder-machtigingen (beveiligingsdescriptorhouder) kan aanzienlijke gevolgen hebben voor de beveiliging, waaronder:

  • Leidt tot escalatie van onbevoegde bevoegdheden, waarbij aanvallers deze accounts kunnen misbruiken om beheerderstoegang te krijgen en gevoelige systemen of gegevens in gevaar te komen
  • Het vergroten van de kwetsbaarheid voor aanvallen, waardoor het moeilijker wordt om beveiligingsincidenten bij te houden en te beperken, waardoor de organisatie mogelijk aan grotere risico's wordt blootgesteld.

Uitvoering

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actionsvoor Toegangsrechten verwijderen voor verdachte accounts met de Beheer SDHolder-machtiging.

    Bijvoorbeeld:

    Schermopname van de Beheer SDHolder-beveiligingsevaluatie.

  2. Bekijk de lijst met weergegeven entiteiten om te ontdekken welke van uw niet-gevoelige accounts de Beheer SDHolder-machtiging hebben.

  3. Neem de juiste actie op deze entiteiten door hun bevoegde toegangsrechten te verwijderen. Bijvoorbeeld:

    1. Gebruik het hulpprogramma ADSI Bewerken om verbinding te maken met uw domeincontroller.
    2. Blader naar de container CN=System>CN=AdminSDHolder en open de containereigenschappen CN=AdminSDHolder .
    3. Selecteer het tabblad >BeveiligingGeavanceerd en verwijder alle niet-gevoelige entiteiten. Dit zijn de entiteiten die zijn gemarkeerd als beschikbaar in de beveiligingsevaluatie.

    Zie active directory-serviceinterfaces en ADSI-documentatie voor bewerken voor meer informatie

Als u de volledige score wilt behalen, herstelt u alle blootgestelde entiteiten.

Wachtwoord voor krbtgt-account wijzigen

Beschrijving

In deze aanbeveling worden alle krbtgt-accounts in uw omgeving vermeld met het wachtwoord dat meer dan 180 dagen geleden voor het laatst is ingesteld.

Gebruikersimpact

Het krbtgt-account in Active Directory is een ingebouwd account dat wordt gebruikt door de Kerberos-verificatieservice. Het versleutelt en ondertekent alle Kerberos-tickets, waardoor veilige verificatie binnen het domein wordt ingeschakeld. Het account kan niet worden verwijderd en het beveiligen is cruciaal, omdat aanvallers mogelijk verificatietickets kunnen vervalsen.
Als het wachtwoord van het KRBTGT-account is aangetast, kan een aanvaller zijn hash gebruiken om geldige Kerberos-verificatietickets te genereren, zodat ze Golden Ticket-aanvallen kunnen uitvoeren en toegang kunnen krijgen tot elke resource in het AD-domein. Omdat Kerberos afhankelijk is van het KRBTGT-wachtwoord om alle tickets te ondertekenen, is het nauwlettend controleren en regelmatig wijzigen van dit wachtwoord essentieel om het risico op dergelijke aanvallen te beperken.

Uitvoering

  1. Bekijk de lijst met weergegeven entiteiten om te ontdekken welke van uw krbtgt-accounts een oud wachtwoord hebben.

  2. Onderneem de juiste actie op deze accounts door hun wachtwoord tweemaal opnieuw in te stellen om de Golden Ticket-aanval ongeldig te maken. 

Opmerking

Het krbtgt Kerberos-account in alle Active Directory-domeinen ondersteunt sleutelopslag in alle KDC's (Key Distribution Centers) van Kerberos. Als u de Kerberos-sleutels voor TGT-versleuteling wilt vernieuwen, wijzigt u periodiek het wachtwoord van het krbtgt-account .

We raden u aan het wachtwoord twee keer opnieuw in te stellen, waarbij u ten minste 10 uur moet wachten tussen het opnieuw instellen. Met dit proces worden bestaande Kerberos-tickets ongeldig gemaakt om Golden Ticket-aanvallen te voorkomen.

Zie Het krbtgt-wachtwoord opnieuw instellen voor de officiële en ondersteunde procedure.

Wachtwoord wijzigen voor on-premises account met mogelijk gelekte referenties (preview)

Beschrijving

Dit rapport bevat gebruikers van wie de geldige referenties zijn gelekt. Wanneer cybercriminelen inbreuk maken op geldige wachtwoorden van legitieme gebruikers, delen de criminelen deze referenties vaak. Dit wordt gedaan door ze openbaar op het dark web te plaatsen of sites te plakken of door de referenties te verhandelen of te verkopen op de zwarte markt. De service voor gelekte referenties van Microsoft verkrijgt combinaties van gebruikersnaam en wachtwoord door openbare en donkere websites te bewaken en door samen te werken met de beveiligingsteams van onderzoekers bij microsoft andere vertrouwde bronnen.

Gebruikersimpact

Wanneer de service gebruikersreferenties verkrijgt van het dark web, plakt u sites of de bovenstaande bronnen, kan een account met gecompromitteerde referenties worden misbruikt door kwaadwillende actoren om onbevoegde toegang te krijgen.

Uitvoering

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions voor Wachtwoord wijzigen voor accounts met mogelijk gelekte referenties.
  2. Bekijk de lijst met weergegeven entiteiten om te ontdekken welke van uw accountwachtwoorden zijn gelekt.
  3. Voer de juiste acties uit voor deze entiteiten door het serviceaccount te verwijderen:
    1. Open de Active Directory: gebruikers en computers-console (ADUC) en meld u aan met een beheerdersaccount.
    2. Navigeer naar de organisatie-eenheid (OE) waar het gebruikersaccount zich bevindt.
    3. Zoek en selecteer het gebruikersaccount waarvoor het wachtwoord moet worden gewijzigd.
    4. Klik met de rechtermuisknop op het gebruikersaccount, selecteer Wachtwoord opnieuw instellen, voer het nieuwe wachtwoord in en bevestig het.

Wachtwoord van ingebouwd domeinbeheerdersaccount wijzigen

Beschrijving

In deze aanbeveling worden alle ingebouwde domeinbeheerdersaccounts in uw omgeving vermeld met het wachtwoord dat meer dan 180 dagen geleden voor het laatst is ingesteld. 

Gebruikersimpact

Het ingebouwde domeinbeheerdersaccount is een standaard AD-account met hoge bevoegdheden met volledige controle over het domein. Het kan niet worden verwijderd, heeft onbeperkte toegang en is essentieel voor het beheren van de resources van het domein.

Het wachtwoord van het ingebouwde beheerdersaccount regelmatig bijwerken is essentieel vanwege de hoge bevoegdheden, waardoor het een belangrijk doelwit is voor aanvallers. Als deze is gecompromitteerd, kan het onbevoegde beheer over het domein verlenen. Omdat dit account vaak niet wordt gebruikt en het wachtwoord mogelijk niet regelmatig wordt bijgewerkt, verminderen regelmatige wijzigingen de blootstelling en verbeteren de beveiliging. 

Uitvoering

  1. Bekijk de lijst met weergegeven entiteiten om te ontdekken welke van uw ingebouwde domeinbeheerdersaccounts een oud wachtwoord hebben.  

  2. Voer de juiste actie uit voor deze accounts door hun wachtwoord opnieuw in te stellen.  

    Bijvoorbeeld:

Schermopname van de evaluatie van de beveiligingspostuur voor wachtwoord wijzigen voor ingebouwde domeinbeheerdersaccounts.

Slapende entiteiten in gevoelige groepen

Beschrijving

Microsoft Defender for Identity detecteert of bepaalde gebruikers gevoelig zijn, samen met het verstrekken van kenmerken die worden weergegeven als ze inactief, uitgeschakeld of verlopen zijn.

Gevoelige accounts kunnen echter ook inactief worden als ze niet gedurende een periode van 180 dagen worden gebruikt. Slapende gevoelige entiteiten zijn doelwitten van mogelijkheden voor kwaadwillende actoren om gevoelige toegang tot uw organisatie te krijgen.

Zie Defender for Identity-entiteitstags in Microsoft Defender XDR voor meer informatie.

Gebruikersimpact

Organisaties die hun slapende gebruikersaccounts niet kunnen beveiligen, laten de deur ontgrendeld naar hun gevoelige gegevens.

Kwaadwillende actoren, net als dieven, zoeken vaak naar de eenvoudigste en stilste manier in elke omgeving. Een eenvoudig en stil pad diep in uw organisatie is via gevoelige gebruikers- en serviceaccounts die niet meer in gebruik zijn.

Het maakt niet uit of de oorzaak het personeelsverloop of het wanbeheer van resources is. Als u deze stap overslaat, worden de meest gevoelige entiteiten van uw organisatie kwetsbaar en blootgesteld.

Uitvoering

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions om te ontdekken welke van uw gevoelige accounts inactief zijn.

    Schermopname van verbeteringsacties voor Het verwijderen van slapende accounts uit gevoelige groepen.

  2. Neem de juiste actie op die gebruikersaccounts door hun bevoegde toegangsrechten te verwijderen of door het account te verwijderen.

Niet-beheerdersaccounts met DCSync-machtigingen verwijderen

Beschrijving

Accounts met de DCSync-machtiging kunnen domeinreplicatie initiëren. Aanvallers kunnen mogelijk gebruikmaken van domeinreplicatie om onbevoegde toegang te krijgen, domeingegevens te manipuleren of de integriteit en beschikbaarheid van uw Active Directory-omgeving in gevaar te komen.

Het is van cruciaal belang om het lidmaatschap van deze groep zorgvuldig te beheren en te beperken om de beveiliging en integriteit van uw domeinreplicatieproces te garanderen.

Uitvoering

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actionsvoor Niet-beheerdersaccounts verwijderen met DCSync-machtigingen.

    Schermopname van de aanbevolen actie voor het verwijderen van niet-beheerdersaccounts met DCsync-machtigingen.

  2. Bekijk deze lijst met weergegeven entiteiten om te zien welke van uw accounts DCSync-machtigingen hebben en ook niet-domeinbeheerders zijn.

  3. Neem de juiste actie op deze entiteiten door hun bevoegde toegangsrechten te verwijderen.

Als u de maximale score wilt bereiken, herstelt u alle blootgestelde entiteiten.

U kunt toegang krijgen tot Active Directory: gebruikers en computers door u aan te melden bij uw domeincontroller. DCSync-machtigingen verwijderen uit een niet-beheerdersaccount:

  1. Open Active Directory: gebruikers en computers.

  2. Schakel Geavanceerde functies in. Dit is vereist om het tabblad Beveiliging weer te geven op domeinobjecten.

  3. Open Domeineigenschappen, selecteer uw domeinnaam (bijvoorbeeld contoso.local) en selecteer vervolgens Eigenschappen.

  4. Selecteer het tabblad Beveiliging.

  5. Selecteer de doelgebruiker of -groep en selecteer vervolgens het niet-beheerdersgebruikers- of serviceaccount dat deze machtigingen niet mag hebben.

  6. Schakel replicatiemachtigingen uit. Blader door de lijst 'Machtigingen voor [Gebruiker]' schakel de volgende machtigingen uit als deze zijn geselecteerd:

    • Adreslijstwijzigingen repliceren
    • Directory-wijzigingen repliceren alles

  7. Selecteer Toepassen en selecteer vervolgens OK.

Zorg ervoor dat bevoegde accounts niet zijn gedelegeerd

Beschrijving

In deze aanbeveling worden alle bevoegde accounts vermeld waarvoor de instelling 'niet gedelegeerd' niet is ingeschakeld, waarbij de accounts die mogelijk worden blootgesteld aan delegeringsrisico's worden gemarkeerd. Bevoegde accounts zijn accounts die lid zijn van een bevoorrechte groep, zoals domeinbeheerders, schemabeheerders, enzovoort. 

Gebruikersimpact

Als de gevoelige vlag is uitgeschakeld, kunnen aanvallers kerberos-delegatie misbruiken om bevoegde accountreferenties te misbruiken, wat leidt tot onbevoegde toegang, laterale verplaatsing en mogelijke netwerkbrede beveiligingsschendingen. Het instellen van de gevoelige vlag op bevoegde gebruikersaccounts voorkomt dat gebruikers toegang krijgen tot het account en het bewerken van systeeminstellingen.
Voor apparaataccounts is het belangrijk om ze in te stellen op 'niet gedelegeerd' om te voorkomen dat deze wordt gebruikt in een delegeringsscenario, zodat referenties op deze computer niet kunnen worden doorgestuurd voor toegang tot andere services.

Uitvoering

  1. Bekijk de lijst met beschikbare entiteiten om te ontdekken welke van uw bevoegde accounts niet de configuratievlag 'dit account is gevoelig en kan niet worden gedelegeerd'.

  2. Neem de juiste actie op deze accounts:

  • Voor gebruikersaccounts: door de controlevlagmen van het account in te stellen op 'dit account is gevoelig en kan niet worden gedelegeerd'. Schakel op het tabblad Account het selectievakje voor deze vlag in de sectie Accountopties in. Dit voorkomt dat gebruikers toegang krijgen tot het account en systeeminstellingen bewerken.  

    Schermopname van het gebruikersprofiel.

  • Voor apparaataccounts:
    De veiligste benadering is om een PowerShell-script te gebruiken om het apparaat te configureren om te voorkomen dat het wordt gebruikt in een delegeringsscenario, zodat referenties op deze computer niet kunnen worden doorgestuurd voor toegang tot andere services.

    $name = "ComputerA" 
Get-ADComputer -Identity $name |
Set-ADAccountControl -AccountNotDelegated:$true

    Een andere optie is om het UserAccountControl kenmerk in te NOT_DELEGATED = 0x100000 stellen op op het tabblad Kenmerkeditor voor het weergegeven apparaat.

    Bijvoorbeeld:

    Schermopname van het apparaatprofiel.

Entiteiten die referenties in duidelijke tekst weergeven

Beschrijving

Deze beveiligingsevaluatie bewaakt uw verkeer voor entiteiten die referenties in duidelijke tekst beschikbaar maken en waarschuwt u voor de huidige blootstellingsrisico's (meest beïnvloede entiteiten) in uw organisatie met voorgestelde herstel.

Gebruikersimpact

Entiteiten die referenties in duidelijke tekst beschikbaar stellen, zijn riskant, niet alleen voor de blootgestelde entiteit in kwestie, maar voor uw hele organisatie.

Het verhoogde risico komt doordat onveilig verkeer, zoals LDAP simple-bind, zeer gevoelig is voor onderschepping door aanvaller-in-the-middle-aanvallen. Deze typen aanvallen leiden tot schadelijke activiteiten, waaronder het blootvallen van referenties, waarbij een aanvaller referenties kan gebruiken voor schadelijke doeleinden.

Uitvoering

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions.

    Voorkomen dat referenties voor tekst worden weergegeven.

    Bekijk de meest beïnvloede entiteiten en maak een actieplan.

  2. Onderzoek waarom deze entiteiten LDAP gebruiken in duidelijke tekst.

  3. Herstel de problemen en stop de blootstelling.

  4. Nadat u het herstel hebt bevestigd, wordt u aangeraden LDAP-ondertekening op domeincontrollerniveau te vereisen. Zie Vereisten voor ondertekening van LDAP-server voor domeincontrollers voor meer informatie over ondertekening van LDAP-servers.

Opmerking

Deze evaluatie wordt in bijna realtime bijgewerkt. In de rapporten worden de betrokken entiteiten van de afgelopen 30 dagen weergegeven. Na die tijd worden entiteiten die niet meer worden beïnvloed, verwijderd uit de lijst met weergegeven entiteiten.

Microsoft LAPS-gebruik

Beschrijving

De 'Local Administrator Password Solution' (LAPS) van Microsoft biedt beheer van lokale beheerdersaccountwachtwoorden voor computers die lid zijn van een domein. Wachtwoorden worden gerandomiseerd en opgeslagen in Active Directory (AD), beveiligd door ACL's, zodat alleen in aanmerking komende gebruikers het kunnen lezen of het opnieuw instellen kunnen aanvragen.

Deze beveiligingsevaluatie ondersteunt verouderde Microsoft LAPS en Windows LAPS.

Gebruikersimpact

LAPS biedt een oplossing voor het probleem van het gebruik van een gemeenschappelijk lokaal account met een identiek wachtwoord op elke computer in een domein. LAPS lost dit probleem op door op elke computer in het domein een ander, geroteerd willekeurig wachtwoord in te stellen voor het algemene lokale beheerdersaccount.

LAPS vereenvoudigt het wachtwoordbeheer en helpt klanten bij het implementeren van meer aanbevolen beveiliging tegen cyberaanvallen. De oplossing vermindert met name het risico van laterale escalatie die ontstaat wanneer klanten dezelfde combinatie van lokaal beheerdersaccount en wachtwoord op hun computers gebruiken. LAPS slaat het wachtwoord op voor het lokale beheerdersaccount van elke computer in AD, beveiligd met een vertrouwelijk kenmerk in het bijbehorende AD-object van de computer. De computer kan de eigen wachtwoordgegevens in AD bijwerken en domeinbeheerders kunnen leestoegang verlenen aan geautoriseerde gebruikers of groepen, zoals helpdeskbeheerders van werkstations.

Opmerking

In sommige gevallen kunnen Microsoft Entra hybride gekoppelde machines nog steeds worden weergegeven in de evaluatie van de beveiligingspostuur, zelfs als LAPS is geconfigureerd in Microsoft Entra ID. Dit kan worden veroorzaakt door hoe het beleid wordt toegepast of hoe het apparaat de status rapporteert. Als dit het geval is, raden we u aan de LAPS-configuratie in Microsoft Entra ID te controleren om te controleren of alles is ingesteld zoals verwacht. Meer informatie vindt u hier.

Uitvoering

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions om te ontdekken welke van uw domeinen een aantal (of alle) compatibele Windows-apparaten hebben die niet worden beveiligd met LAPS of waarvoor het beheerde LAPS-wachtwoord in de afgelopen 60 dagen niet is gewijzigd.

    Schermopname van welke domeinen apparaten niet zijn beveiligd door LAPS.

  2. Voor domeinen die gedeeltelijk zijn beveiligd, selecteert u de relevante rij om de lijst met apparaten weer te geven die niet door LAPS zijn beveiligd in dat domein.

    Schermopname van de lijst met apparaten die niet worden beveiligd door LAPS in een geselecteerd domein.

  3. Onderneem de juiste actie op deze apparaten door Microsoft LAPS of Windows LAPS te downloaden, te installeren en te configureren of problemen op te lossen.

    Schermopname van de herstelstappen voor apparaten die niet zijn beveiligd door LAPS.

Detecteerbare wachtwoorden verwijderen in Active Directory-accountkenmerken (preview)

Beschrijving

Bepaalde kenmerken van vrije tekst worden vaak over het hoofd gezien tijdens het beveiligen, maar kunnen worden gelezen door elke geverifieerde gebruiker in het domein. Wanneer referenties of aanwijzingen per ongeluk worden opgeslagen in deze kenmerken, kunnen aanvallers deze misbruiken om zich lateraal in de omgeving te verplaatsen of bevoegdheden te escaleren.

Aanvallers zoeken naar paden met lage wrijving om de toegang uit te breiden. Weergegeven wachtwoorden in deze kenmerken vertegenwoordigen een gemakkelijke overwinning omdat:

  • De kenmerken zijn niet toegankelijk.

  • Ze worden niet standaard bewaakt.

  • Ze bieden contextaanvallers die misbruik kunnen maken van laterale verplaatsing en escalatie van bevoegdheden.

Het verwijderen van blootgestelde referenties van deze kenmerken vermindert het risico op identiteitsinbreuk en versterkt de beveiligingspostuur van uw organisatie.

Opmerking

De bevindingen kunnen fout-positieven bevatten. Valideer altijd de resultaten voordat u actie onderneemt.

Microsoft Defender for Identity detecteert potentiële blootstelling aan referenties in Active Directory door veelgebruikte vrije-tekstkenmerken te analyseren. Dit omvat het zoeken naar algemene wachtwoordindelingen, hints, 'description', 'info'en 'adminComment' velden en andere contextuele aanwijzingen die de aanwezigheid van misbruik van referenties kunnen suggereren. Deze aanbeveling maakt gebruik van genAI-aangedreven analyse van Active Directory-kenmerken om het volgende te detecteren:

  • Wachtwoorden of variaties in tekst zonder opmaak. Bijvoorbeeld: 'Password=Summer2025!'

  • Referentiepatronen, hints voor opnieuw instellen of gevoelige accountgegevens.

  • Andere indicatoren die duiden op operationeel misbruik van directoryvelden.

Gedetecteerde overeenkomsten worden weergegeven in De beveiligingsscore en het beveiligingsbeoordelingsrapport voor beoordeling en herstel.

Uitvoering

Voer de volgende stappen uit om deze beveiligingsevaluatie aan te pakken:

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions voor Detecteerbare wachtwoorden verwijderen in Active Directory-accountkenmerken.

  2. Controleer de weergegeven vermeldingen in het beveiligingsrapport. Identificeer alle veldinhoud die het volgende omvat:

    • Tekstwachtwoorden wissen

    • Instructies voor opnieuw instellen of aanwijzingen voor referenties

    • Gevoelige bedrijfs- of systeemgegevens

  3. Verwijder gevoelige informatie uit de vermelde kenmerkvelden met behulp van standaardprogramma's voor adreslijstbeheer (bijvoorbeeld PowerShell of ADSI Bewerken).

  4. Verwijder de gevoelige informatie volledig. Masker de waarde niet alleen. Gedeeltelijke verduistering (bijvoorbeeld P@ssw***) kan nog steeds nuttige aanwijzingen bieden voor aanvallers.

Verouderde serviceaccounts verwijderen (preview)

Beschrijving

In deze aanbeveling worden Active Directory-serviceaccounts vermeld die in de afgelopen 90 dagen zijn gedetecteerd als verouderd.

Gebruikersimpact

Ongebruikte serviceaccounts creëren aanzienlijke beveiligingsrisico's, omdat sommige ervan verhoogde bevoegdheden kunnen hebben. Als aanvallers toegang krijgen, kan het resultaat aanzienlijke schade zijn. Verouderde serviceaccounts behouden mogelijk hoge of verouderde machtigingen. Wanneer ze worden gecompromitteerd, bieden ze aanvallers discrete toegangspunten tot kritieke systemen en bieden ze veel meer toegang dan een standaardgebruikersaccount.

Deze blootstelling brengt verschillende risico's met zich mee:

  • Onbevoegde toegang tot gevoelige toepassingen en gegevens.

  • Zijwaartse verplaatsing over het netwerk zonder detectie.

Uitvoering

Volg deze stappen om deze beveiligingsevaluatie effectief te gebruiken:

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions  voor Verouderde serviceaccount verwijderen.

  2. Bekijk de lijst met beschikbare entiteiten om te ontdekken welke van uw serviceaccounts verouderd zijn en de afgelopen 90 dagen geen aanmeldingsactiviteiten hebben uitgevoerd.

  3. Voer de juiste acties uit voor deze entiteiten door het serviceaccount te verwijderen. Bijvoorbeeld:

    • Schakel het account uit: Gebruik voorkomen door het account uit te schakelen dat is geïdentificeerd als beschikbaar.

    • Controleren op impact: Wacht enkele weken en controleer op operationele problemen, zoals serviceonderbrekingen of fouten.

    • Verwijder het account: Als er geen problemen worden waargenomen, verwijdert u het account en verwijdert u de toegang ervan volledig.

Riskantste laterale bewegingspaden (LMP)

Beschrijving

Microsoft Defender for Identity bewaakt uw omgeving voortdurend om gevoelige accounts te identificeren met de meest riskante paden voor laterale verplaatsingen die een beveiligingsrisico blootstellen, en rapporteert over deze accounts om u te helpen bij het beheren van uw omgeving. Paden worden als riskant beschouwd als ze drie of meer niet-gevoelige accounts hebben die het gevoelige account kunnen blootstellen aan diefstal van referenties door kwaadwillende actoren.

Zie voor meer informatie over laterale verplaatsingspaden:

Gebruikersimpact

Organisaties die hun gevoelige accounts niet kunnen beveiligen, laten de deur ontgrendeld voor kwaadwillende actoren.

Kwaadwillende actoren, net als dieven, zoeken vaak naar de eenvoudigste en stilste manier in elke omgeving. Gevoelige accounts met riskante zijwaartse verplaatsingspaden zijn vensters van mogelijkheden voor aanvallers en kunnen risico's blootstellen.

De riskantste paden zijn bijvoorbeeld beter zichtbaar voor aanvallers en kunnen, als ze zijn gecompromitteerd, een aanvaller toegang geven tot de meest gevoelige entiteiten van uw organisatie.

Uitvoering

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions om te ontdekken welke van uw gevoelige accounts riskante LMP's hebben.

    Schermopname van de betrokken entiteiten en de acties die moeten worden ondernomen om het risico van het laterale verplaatsingspad voor gevoelige entiteiten te verminderen.

  2. Neem de juiste actie:

    • Verwijder de entiteit uit de groep zoals opgegeven in de aanbeveling.
    • Verwijder de lokale beheerdersmachtigingen voor de entiteit van het apparaat dat in de aanbeveling is opgegeven.

Onbeveiligde Kerberos-delegatie

Beschrijving

Kerberos-delegatie is een delegeringsinstelling waarmee toepassingen toegangsreferenties voor eindgebruikers kunnen aanvragen voor toegang tot resources namens de oorspronkelijke gebruiker.

Gebruikersimpact

Onbeveiligde Kerberos-delegering biedt een entiteit de mogelijkheid om u te imiteren voor een andere gekozen service. Stel dat u een IIS-website hebt en het account van de toepassingsgroep is geconfigureerd met onbeperkte delegering. Op de IIS-websitesite is ook Windows-verificatie ingeschakeld, waardoor systeemeigen Kerberos-verificatie is toegestaan, en de site gebruikt een back-end-SQL Server voor zakelijke gegevens. Met uw Domein Beheer-account bladert u naar de IIS-website en verifieert u deze. De website kan met behulp van onbeperkte delegering een serviceticket ophalen van een domeincontroller naar de SQL-service en dit doen in uw naam.

Het belangrijkste probleem met Kerberos-delegatie is dat u de toepassing moet vertrouwen om altijd het juiste te doen. Kwaadwillende actoren kunnen in plaats hiervan de toepassing dwingen om het verkeerde te doen. Als u bent aangemeld als domeinbeheerder, kan de site een ticket maken voor de andere services die ze willen, door op te treden als u, de domeinbeheerder. De site kan bijvoorbeeld een domeincontroller kiezen en wijzigingen aanbrengen in de ondernemingsbeheerdersgroep . Op dezelfde manier kan de site de hash van het KRBTGT-account verkrijgen of een interessant bestand downloaden van uw afdeling Human Resources. Het risico is duidelijk en de mogelijkheden met onbeveiligde delegering zijn bijna eindeloos.

Hier volgt een beschrijving van het risico dat de verschillende delegatietypen met zich meebrengen:

  • Niet-beperkte delegering: elke service kan worden misbruikt als een van de delegeringsvermeldingen gevoelig is.
  • Beperkte delegering: beperkte entiteiten kunnen worden misbruikt als een van hun delegeringsvermeldingen gevoelig is.
  • Beperkte delegering op basis van resources (RBCD): beperkte entiteiten op basis van resources kunnen worden misbruikt als de entiteit zelf gevoelig is.

Uitvoering

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions om te ontdekken welke van uw niet-domeincontroller-entiteiten zijn geconfigureerd voor onbeveiligde Kerberos-delegering.

    Schermopname van de beveiligingsevaluatie voor onbeveiligde Kerberos-delegering.

  2. Neem de juiste actie voor gebruikers die risico lopen, zoals het verwijderen van hun kenmerk zonder beperkingen of het wijzigen in een veiligere beperkte delegering.

  3. Gebruik het herstel dat geschikt is voor uw delegatietype.

  4. Schakel delegering uit of gebruik een van de volgende KCD-typen (Beperkte Kerberos-delegering):

Onbeperkte delegering

  1. Selecteer Deze computer vertrouwen voor alleen delegering naar opgegeven services. Schermopname van de optie om deze computer te vertrouwen voor alleen delegering naar opgegeven services.

  2. Geef de Services op waaraan dit account gedelegeerde referenties kan presenteren.

Beperkte delegering

Hiermee wordt beperkt welke services dit account kan imiteren.

  1. Controleer de gevoelige gebruikers die worden vermeld in de aanbevelingen en verwijder deze uit de services waaraan het betrokken account gedelegeerde referenties kan presenteren.

    Schermopname van een lijst met weergegeven entiteiten met de aanbeveling om onbeveiligde kerberos-delegering te wijzigen om imitatie te voorkomen.

Beperkte delegering op basis van resources (RBCD)

Beperkte delegering op basis van resources beperkt welke entiteiten dit account kunnen imiteren. KCD op basis van resources wordt geconfigureerd met behulp van PowerShell.

  1. U kunt de cmdlets Set-ADComputer of Set-ADUser gebruiken, afhankelijk van of het imitatieaccount een computeraccount of een gebruikersaccount/serviceaccount is.

  2. Controleer de gevoelige gebruikers die in de aanbevelingen worden vermeld en verwijder ze uit de resource. Zie Beperkte Kerberos-delegering (KCD) configureren in Microsoft Entra Domeinservices voor meer informatie over het configureren van RBCD.

Kenmerken van onbeveiligde SID-geschiedenis

Beschrijving

SID-geschiedenis is een kenmerk dat migratiescenario's ondersteunt. Elk gebruikersaccount heeft een beveiligings-IDentifier (SID) die wordt gebruikt om de beveiligingsprincipal en de toegang die het account heeft bij het maken van verbinding met resources bij te houden. Sid-geschiedenis zorgt ervoor dat toegang voor een ander account effectief kan worden gekloond naar een ander account en is handig om ervoor te zorgen dat gebruikers toegang behouden wanneer ze van het ene domein naar het andere worden verplaatst (gemigreerd).

De evaluatie controleert op accounts met SID-geschiedeniskenmerken die Microsoft Defender for Identity profielen riskant zijn.

Gebruikersimpact

Organisaties die hun accountkenmerken niet kunnen beveiligen, laten de deur ontgrendeld voor kwaadwillende actoren.

Kwaadwillende actoren, net als dieven, zoeken vaak naar de eenvoudigste en stilste manier in elke omgeving. Accounts die zijn geconfigureerd met een onveilig sid-geschiedeniskenmerk zijn vensters met mogelijkheden voor aanvallers en kunnen risico's blootstellen.

Een niet-gevoelig account in een domein kan bijvoorbeeld de ENTERPRISE-Beheer-SID bevatten in de SID-geschiedenis van een ander domein in het Active Directory-forest, waardoor de toegang voor het gebruikersaccount wordt 'verheffen' tot een effectieve domein-Beheer in alle domeinen in het forest. Als u een forestvertrouwensrelatie hebt zonder SID-filtering ingeschakeld (ook wel quarantaine genoemd), is het ook mogelijk om een SID uit een ander forest te injecteren en deze wordt toegevoegd aan het gebruikerstoken wanneer deze wordt geverifieerd en gebruikt voor toegangsevaluaties.

Uitvoering

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions om te ontdekken welke van uw accounts een onveilig sid-geschiedeniskenmerk hebben.

    Schermopname van verbeteringsacties voor niet-beveiligde SID-geschiedeniskenmerken verwijderen.

  2. Voer de volgende stappen uit om het kenmerk SID-geschiedenis uit de accounts te verwijderen met behulp van PowerShell:

    1. Identificeer de SID in het kenmerk SIDHistory voor het account.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory

    2. Verwijder het kenmerk SIDHistory met behulp van de EERDER geïdentificeerde SID.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}

Niet-beveiligde accountkenmerken

Beschrijving

Microsoft Defender for Identity controleert uw omgeving continu om accounts te identificeren met kenmerkwaarden die een beveiligingsrisico blootstellen, en rapporteert over deze accounts om u te helpen uw omgeving te beschermen.

Gebruikersimpact

Organisaties die hun accountkenmerken niet kunnen beveiligen, laten de deur ontgrendeld voor kwaadwillende actoren.

Kwaadwillende actoren, net als dieven, zoeken vaak naar de eenvoudigste en stilste manier in elke omgeving. Accounts die zijn geconfigureerd met onbeveiligde kenmerken, zijn kansen voor aanvallers en kunnen risico's blootstellen.

Als het kenmerk PasswordNotRequired bijvoorbeeld is ingeschakeld, heeft een aanvaller eenvoudig toegang tot het account. Dit is met name riskant als het account bevoegde toegang heeft tot andere resources.

Uitvoering

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions om te ontdekken welke van uw accounts niet-beveiligde kenmerken hebben.

    Schermopname van een lijst met niet-beveiligde accountkenmerken die moeten worden opgelost.

  2. Voer de juiste actie uit voor deze gebruikersaccounts door de relevante kenmerken te wijzigen of te verwijderen.

  3. Gebruik de herstelbewerking die geschikt is voor het relevante kenmerk, zoals beschreven in de volgende tabel:

Aanbevolen actie Herstellen Reden
Verwijderen Geen kerberos-verificatie vereisen Deze instelling verwijderen uit accounteigenschappen in Active Directory (AD) Voor het verwijderen van deze instelling is kerberos-verificatie vooraf vereist voor het account, wat resulteert in verbeterde beveiliging.
Store-wachtwoord verwijderen met omkeerbare versleuteling Deze instelling verwijderen uit accounteigenschappen in AD Als u deze instelling verwijdert, voorkomt u dat het wachtwoord van het account eenvoudig kan worden ontsleuteld.
Wachtwoord verwijderen niet vereist Deze instelling verwijderen uit accounteigenschappen in AD Als u deze instelling verwijdert, moet een wachtwoord worden gebruikt met het account en wordt voorkomen dat onbevoegde toegang tot resources wordt gebruikt.
Wachtwoord verwijderen dat is opgeslagen met zwakke versleuteling Het accountwachtwoord opnieuw instellen Als u het wachtwoord van het account wijzigt, kunnen sterkere versleutelingsalgoritmen worden gebruikt voor de beveiliging ervan.
Kerberos AES-versleutelingsondersteuning inschakelen AES-functies inschakelen voor de accounteigenschappen in AD Het inschakelen van AES128_CTS_HMAC_SHA1_96 of AES256_CTS_HMAC_SHA1_96 voor het account helpt het gebruik van zwakkere versleutelingssleutels voor Kerberos-verificatie te voorkomen.
Kerberos DES-versleutelingstypen voor dit account gebruiken verwijderen Deze instelling verwijderen uit accounteigenschappen in AD Als u deze instelling verwijdert, kunt u sterkere versleutelingsalgoritmen gebruiken voor het wachtwoord van het account.
Een Service Principal Name (SPN) verwijderen Deze instelling verwijderen uit accounteigenschappen in AD Wanneer een gebruikersaccount is geconfigureerd met een SPN-set, betekent dit dat het account is gekoppeld aan een of meer SPN's. Dit gebeurt meestal wanneer een service is geïnstalleerd of geregistreerd om te worden uitgevoerd onder een specifiek gebruikersaccount en de SPN wordt gemaakt om de servicewerkruimte voor Kerberos-verificatie uniek te identificeren. Deze aanbeveling wordt alleen weergegeven voor gevoelige accounts.
Wachtwoord opnieuw instellen als smartcardInstelling vereist is verwijderd Het accountwachtwoord opnieuw instellen Als u het wachtwoord van het account wijzigt nadat de vlag SmartcardRequired UAC is verwijderd, zorgt u ervoor dat deze is ingesteld onder het huidige beveiligingsbeleid. Dit helpt potentiële blootstelling te voorkomen van wachtwoorden die zijn gemaakt toen smartcard afdwingen nog actief was.

  1. Gebruik de vlag UserAccountControl (UAC) om gebruikersaccountprofielen te bewerken. Zie voor meer informatie:

Volgende stappen

  • Last updated on