Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O que são cifras fracas?
A criptografia baseia-se em cifras para encriptar os nossos dados. Por exemplo, RC4 (Rivest Cipher 4 também conhecido como ARC4 ou ARCFOUR, ou seja, RC4 Alegado) é um. Embora a RC4 seja notável pela sua simplicidade e velocidade, várias vulnerabilidades foram descobertas desde o lançamento original do RC4, tornando-a insegura. O RC4 é especialmente vulnerável quando o início do fluxo de chaves de saída não é eliminado ou quando são utilizadas chaves não aleatórias ou relacionadas.
Como fazer utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional?
Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para obter uma utilização fraca da cifra.
Investigue por que motivo os clientes e servidores identificados estão a utilizar cifras fracas.
Remediar os problemas e desativar a utilização de RC4 e/ou outras cifras fracas (como DES/3DES).
Para saber mais sobre como desativar o RC4, consulte o Aviso de Segurança da Microsoft.
Observação
Esta avaliação é atualizada quase em tempo real. Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades que já não forem afetadas serão removidas da lista de entidades expostas.
Remediação
Certifique-se de que testa as seguintes definições num ambiente controlado antes de as ativar na produção.
Para remediar a fraca utilização de cifras, modifique o atributo msDS-SupportedEncryptionTypes AD nos dispositivos e contas aplicáveis e remova as cifras fracas com base nestes sinalizadores de bits.
Depois de garantir que os dispositivos e as contas já não estão a utilizar as cifras fracas, modifique a política de segurança do controlador de domínio para remover as cifras fracas da definição Segurança de rede: Configurar tipos de encriptação permitidos para Kerberos .
Observação
Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, a status ainda poderá demorar algum tempo até ser marcada como Concluída.