Ocena zabezpieczeń: Niezabezpieczone atrybuty konta
Co to są niezabezpieczone atrybuty konta?
Usługa Microsoft Defender for Identity stale monitoruje twoje środowisko w celu identyfikowania kont z wartościami atrybutów, które uwidacznia ryzyko bezpieczeństwa, oraz raportuje te konta, aby ułatwić ochronę środowiska.
Jakie ryzyko stanowią niezabezpieczone atrybuty konta?
Organizacje, które nie zabezpieczają swoich atrybutów konta, pozostawiają odblokowane drzwi dla złośliwych podmiotów.
Złośliwi aktorzy, podobnie jak złodzieje, często szukają najprostszego i najcichszego sposobu w każdym środowisku. Konta skonfigurowane z niezabezpieczonymi atrybutami to okna możliwości dla osób atakujących i mogą stanowić zagrożenie.
Jeśli na przykład atrybut PasswordNotRequired jest włączony, osoba atakująca może łatwo uzyskać dostęp do konta. Jest to szczególnie ryzykowne, jeśli konto ma uprzywilejowany dostęp do innych zasobów.
Jak mogę użyć tej oceny zabezpieczeń?
Przejrzyj zalecaną akcję, https://security.microsoft.com/securescore?viewid=actions aby dowiedzieć się, które z kont mają niezabezpieczone atrybuty.
Podejmij odpowiednie działania na tych kontach użytkowników, modyfikując lub usuwając odpowiednie atrybuty.
Korekty
Użyj korygowania odpowiedniego dla odpowiedniego atrybutu zgodnie z opisem w poniższej tabeli.
| Zalecana akcja | Korekty | Przyczyna |
|---|---|---|
| Usuń nie wymagaj wstępnego uwierzytelniania protokołu Kerberos | Usuń to ustawienie z właściwości konta w usłudze Active Directory (AD) | Usunięcie tego ustawienia wymaga wstępnego uwierzytelniania Kerberos dla konta, co zwiększa bezpieczeństwo. |
| Usuwanie hasła magazynu przy użyciu szyfrowania odwracalnego | Usuń to ustawienie z właściwości konta w usłudze AD | Usunięcie tego ustawienia uniemożliwia łatwe odszyfrowywanie hasła konta. |
| Usuń hasło, które nie jest wymagane | Usuń to ustawienie z właściwości konta w usłudze AD | Usunięcie tego ustawienia wymaga użycia hasła z kontem i pomaga zapobiec nieautoryzowanemu dostępowi do zasobów. |
| Usuwanie hasła przechowywanego przy użyciu słabego szyfrowania | Resetowanie hasła konta | Zmiana hasła konta umożliwia użycie silniejszych algorytmów szyfrowania w celu ochrony konta. |
| Włączanie obsługi szyfrowania Kerberos AES | Włączanie funkcji AES we właściwościach konta w usłudze AD | Włączenie AES128_CTS_HMAC_SHA1_96 lub AES256_CTS_HMAC_SHA1_96 na koncie pomaga zapobiec używaniu słabszych szyfrów szyfrowania na potrzeby uwierzytelniania Kerberos. |
| Usuń używanie typów szyfrowania Kerberos DES dla tego konta | Usuń to ustawienie z właściwości konta w usłudze AD | Usunięcie tego ustawienia umożliwia użycie silniejszych algorytmów szyfrowania dla hasła konta. |
| Usuwanie głównej nazwy usługi (SPN) | Usuń to ustawienie z właściwości konta w usłudze AD | Po skonfigurowaniu konta użytkownika z ustawioną nazwą SPN oznacza to, że konto zostało skojarzone z co najmniej jedną nazwą SPN. Zwykle występuje to, gdy usługa jest zainstalowana lub zarejestrowana do działania na określonym koncie użytkownika, a nazwa SPN jest tworzona w celu unikatowego zidentyfikowania obszaru roboczego usługi na potrzeby uwierzytelniania Kerberos. To zalecenie jest wyświetlane tylko dla kont poufnych. |
Użyj flagi UserAccountControl , aby manipulować profilami kont użytkowników. Aby uzyskać więcej informacji, zobacz:
- Dokumentacja dotycząca rozwiązywania problemów z systemem Windows Server.
- Właściwości użytkownika — sekcja konta
- Wprowadzenie do ulepszeń centrum Administracja istrative Center w usłudze Active Directory (poziom 100)
- Centrum Administracja istration usługi Active Directory
Uwaga
Chociaż oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Chociaż lista jednostek, których dotyczy ten wpływ, zostanie zaktualizowana w ciągu kilku minut od wdrożenia zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.