Compartilhar via

Avaliações da postura de segurança das contas

Observação

Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, a status ainda poderá demorar algum tempo até ser marcada como Concluída.

Identificar contas de serviço em grupos com privilégios

Descrição

Listas contas de serviço do Active Directory no seu ambiente que sejam membros de grupos privilegiados, incluindo associação direta e aninhada.

Impacto do usuário

Muitas vezes, as contas de serviço têm credenciais de longa duração e são utilizadas por aplicações, scripts ou tarefas automatizadas. Quando estas contas são membros de grupos altamente privilegiados (por exemplo, Administradores de Domínio ou Administradores empresariais), aumentam a superfície de ataque da organização. O compromisso de uma destas contas pode conceder a um atacante um amplo acesso administrativo a sistemas e dados críticos. Além disso, uma vez que as contas de serviço não estão associadas a um utilizador específico e muitas vezes não têm monitorização interativa, a atividade maliciosa realizada nestas contas pode passar despercebida, atrasando a deteção e a resposta.

Implementação

  1. Reveja as entidades expostas para identificar contas de serviço do Active Directory que são membros de grupos com privilégios, tais como Administradores de Domínio, Administradores de Empresa ou Administradores.

  2. Remova a conta do grupo com privilégios se não for necessário acesso elevado ou desative a conta se não estiver a ser utilizada.

Por exemplo:

  • Conta de serviço não utilizada ou desativada:

    • Desative a conta no Active Directory depois de confirmar que não existem inícios de sessão ou dependências recentes.

    • Monitorize durante um curto período (7 a 14 dias). Se estiver inativo, elimine-o de acordo com a sua política.

  • Conta de serviço ativa sem necessidade de direitos de administrador:

    • Remova-o do grupo privilegiado conforme exposto no relatório.

    • Conceda apenas o acesso mínimo necessário através de permissões delegadas ou grupos de segurança no âmbito.

  • Substituir contas legadas:

    • Migrar contas de serviço para Contas de Serviço Geridas de Grupo (gMSA) para rotação automática de palavras-passe e redução da exposição de credenciais.

  • Contas que têm de permanecer com privilégios

    • Restrinja onde podem iniciar sessão com a propriedade Iniciar sessão em .

    • Limite os inícios de sessão interativos através de Política de Grupo e ative a auditoria focada para a respetiva atividade.

    • Exigir propriedade, documentação e revisão periódica da associação com privilégios.

Localizar contas em Grupos de Operadores incorporados

Descrição

Listas contas do Active Directory (utilizadores, contas de serviço e grupos) que são membros de grupos de operadores incorporados, como Operadores de Servidor, Operadores de Cópia de Segurança, Operadores de Impressão ou Operadores de Conta, incluindo associação direta e indireta. Estes grupos concedem privilégios elevados que podem ser utilizados para comprometer controladores de domínio ou servidores confidenciais.

Impacto do usuário

Os grupos de operadores fornecem um amplo controlo sobre servidores, ficheiros e operações do sistema. Os membros destes grupos podem realizar ações administrativas, como parar serviços críticos, modificar ficheiros ou restaurar dados que podem ser explorados para escalar privilégios ou obter persistência. Uma vez que estes grupos raramente são necessários em ambientes modernos, deixar contas nos mesmos aumenta desnecessariamente o risco de abuso de privilégios ou movimento lateral.

Implementação

  1. Reveja a lista de entidades expostas para identificar quais das suas contas do AD são membros de um dos grupos de operadores incorporados (por exemplo, Operadores de Servidor, Operadores de Cópia de Segurança, Operadores de Impressão e Operadores de Conta).

  2. Remova a conta do grupo de operadores se não for necessário acesso elevado ou desative a conta se não estiver a ser utilizada.

Por exemplo:

  • Remova a associação ou desative o serviço ou a conta de administrador que foram adicionados aos Operadores de Cópia de Segurança para um processo de cópia de segurança legado que já não é executado.

  • Se uma conta continuar a executar tarefas operacionais, mas não necessitar de direitos de operador amplos, delegue apenas as permissões específicas de que precisa (por exemplo, restauro de ficheiros ou gestão de impressão num único servidor).

  • Se a associação ao grupo de operadores for essencial para uma função administrativa específica, monitorize a conta, restrinja-a aos anfitriões necessários e reveja-a periodicamente para confirmar a necessidade contínua.

Contas com ID de Grupo Primário não predefinido

Descrição

Esta recomendação lista todos os computadores e contas de utilizador cujo atributo primaryGroupId (PGID) não é a predefinição para utilizadores de domínio e computadores no Active Directory.

Impacto do usuário

O atributo primaryGroupId de uma conta de utilizador ou computador concede associação implícita a um grupo. A associação através deste atributo não aparece na lista de membros do grupo em algumas interfaces. Este atributo pode ser utilizado como uma tentativa de ocultar a associação a grupos. Pode ser uma forma furtiva de um atacante escalar privilégios sem acionar a auditoria normal para alterações de associação a grupos. 

Implementação

  1. Reveja a lista de entidades expostas para descobrir quais das suas contas têm um primaryGroupId suspeito.  

  2. Tome as medidas adequadas nessas contas ao repor o atributo para os respetivos valores predefinidos ou ao adicionar o membro ao grupo relevante:

  • Contas de utilizador: 513 (Utilizadores de Domínio) ou 514 (Convidados de Domínio);

  • Contas de computador: 515 (Computadores de Domínio);

  • Contas de controlador de domínio: 516 (Controladores de Domínio);

  • Contas de controlador de domínio só de leitura (RODC): 521 (Controladores de Domínio Só de Leitura).

Remover direitos de acesso em contas suspeitas com a permissão Administração SDHolder

Descrição

Ter contas não confidenciais com permissões de SDHolder Administração (titular do descritor de segurança) pode ter implicações de segurança significativas, incluindo:

  • Levando a um escalamento de privilégios não autorizado, em que os atacantes podem explorar estas contas para obter acesso administrativo e comprometer sistemas ou dados confidenciais
  • Aumentar a superfície de ataque, dificultando a monitorização e mitigação de incidentes de segurança, expondo potencialmente a organização a maiores riscos.

Implementação

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actionsRemover direitos de acesso em contas suspeitas com a permissão SDHolder Administração.

    Por exemplo:

    Captura de ecrã a mostrar a Administração avaliação de segurança do SDHolder.

  2. Reveja a lista de entidades expostas para descobrir quais das suas contas não confidenciais têm a permissão Administração SDHolder.

  3. Tome as medidas adequadas nessas entidades ao remover os respetivos direitos de acesso privilegiado. Por exemplo:

    1. Utilize a ferramenta de Edição ADSI para ligar ao controlador de domínio.
    2. Navegue para o contentor CN=System>CN=AdminSDHolder e abra as propriedades do contentor CN=AdminSDHolder .
    3. Selecione o separador >SegurançaAvançadas e remova quaisquer entidades não confidenciais. Estas são as entidades marcadas como expostas na avaliação de segurança.

    Para obter mais informações, veja Documentação de Edição de ADSI e Interfaces de Serviço do Active Directory

Para obter a classificação completa, remediar todas as entidades expostas.

Alterar a palavra-passe da conta krbtgt

Descrição

Esta recomendação lista qualquer conta krbtgt no seu ambiente com a palavra-passe definida pela última vez há mais de 180 dias.

Impacto do usuário

A conta krbtgt no Active Directory é uma conta incorporada utilizada pelo serviço de autenticação Kerberos. Encripta e assina todas as permissões Kerberos, permitindo a autenticação segura no domínio. A conta não pode ser eliminada e a sua proteção é crucial, uma vez que o compromisso pode permitir que os atacantes forjem pedidos de autenticação.
Se a palavra-passe da conta KRBTGT estiver comprometida, um atacante pode utilizar o hash para gerar permissões de autenticação Kerberos válidas, permitindo-lhe realizar ataques de Permissão Dourada e obter acesso a qualquer recurso no domínio do AD. Uma vez que o Kerberos depende da palavra-passe KRBTGT para assinar todos os pedidos de suporte, a monitorização atenta e a alteração regular desta palavra-passe são essenciais para mitigar o risco de tais ataques.

Implementação

  1. Reveja a lista de entidades expostas para descobrir quais das suas contas krbtgt têm uma palavra-passe antiga.

  2. Tome as medidas adequadas nessas contas ao repor a palavra-passe duas vezes para invalidar o ataque da Permissão Dourada. 

Observação

A conta kerberos krbtgt em todos os domínios do Active Directory suporta o armazenamento de chaves em todos os Centros de Distribuição de Chaves Kerberos (KDC). Para renovar as chaves Kerberos para encriptação TGT, altere periodicamente a palavra-passe da conta krbtgt. Recomenda-se que utilize o script fornecido pela Microsoft.
Ao repor a palavra-passe duas vezes, aguarde pelo menos 10 horas entre as reposições para evitar problemas de autenticação Kerberos. Este tempo de espera é imposto pelo script e está alinhado com as melhores práticas.

Alterar a palavra-passe da conta de Administrador de domínio incorporada

Descrição

Esta recomendação lista todas as contas de Administrador de domínio incorporadas no seu ambiente com a palavra-passe definida pela última vez há mais de 180 dias. 

Impacto do usuário

A conta de Administrador de domínio incorporada é uma conta do AD predefinida e altamente privilegiada com controlo total sobre o domínio. Não pode ser eliminado, tem acesso sem restrições e é fundamental para gerir os recursos do domínio.

A atualização regular da palavra-passe da conta de Administrador incorporada é essencial devido aos seus privilégios elevados, o que a torna um destino privilegiado para os atacantes. Se for comprometido, pode conceder controlo não autorizado sobre o domínio. Uma vez que esta conta não é frequentemente utilizada e a respetiva palavra-passe pode não ser atualizada com frequência, as alterações regulares reduzem a exposição e melhoram a segurança. 

Implementação

  1. Reveja a lista de entidades expostas para descobrir quais das suas contas de Administrador de domínio incorporadas têm uma palavra-passe antiga.  

  2. Tome as medidas adequadas nessas contas ao repor a palavra-passe.  

    Por exemplo:

Captura de ecrã que mostra a avaliação da postura de segurança para Alterar palavra-passe para contas de Administrador de domínio incorporadas.

Entidades inativas em grupos confidenciais

Descrição

Microsoft Defender para Identidade deteta se determinados utilizadores são confidenciais juntamente com o fornecimento de atributos que aparecem se estiverem inativos, desativados ou expirados.

No entanto, as contas Confidenciais também podem ficar inativas se não forem utilizadas durante um período de 180 dias. As entidades sensíveis inativas são alvos de oportunidades para os atores maliciosos obterem acesso confidencial à sua organização.

Para obter mais informações, veja Etiquetas de entidade do Defender para Identidade no Microsoft Defender XDR.

Impacto do usuário

As organizações que não conseguem proteger as contas de utilizador inativas deixam a porta destrancada para os seus dados confidenciais seguros.

Os atores maliciosos, tal como os ladrões, procuram frequentemente a forma mais fácil e silenciosa de entrar em qualquer ambiente. Um caminho fácil e tranquilo na sua organização é através de contas de utilizador e serviço confidenciais que já não estão a ser utilizadas.

Não importa se a causa é a rotatividade dos funcionários ou a má gestão de recursos – ignorar este passo deixa as entidades mais sensíveis da sua organização vulneráveis e expostas.

Implementação

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais das suas contas confidenciais estão inativas.

    Captura de ecrã que mostra as ações de melhoria para Remover contas inativas de grupos confidenciais.

  2. Tome as medidas adequadas nessas contas de utilizador ao remover os respetivos direitos de acesso privilegiado ou ao eliminar a conta.

Remover contas não administrativas com permissões DCSync

Descrição

As contas com a permissão DCSync podem iniciar a replicação de domínio. Os atacantes podem potencialmente explorar a replicação de domínio para obter acesso não autorizado, manipular dados de domínio ou comprometer a integridade e a disponibilidade do seu ambiente do Active Directory.

É fundamental gerir cuidadosamente e restringir a associação deste grupo para garantir a segurança e integridade do processo de replicação de domínio.

Implementação

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actionsRemover contas não administrativas com permissões DCSync.

    Captura de ecrã que mostra a ação recomendada para remover contas não administrativas com permissões de DCsync.

  2. Reveja esta lista de entidades expostas para descobrir quais das suas contas têm permissões DCSync e também são administradores de nondomain.

  3. Tome as medidas adequadas nessas entidades ao remover os respetivos direitos de acesso privilegiado.

Para obter a classificação máxima, remediar todas as entidades expostas.

Garantir que as contas com privilégios não são delegadas

Descrição

Esta recomendação lista todas as contas com privilégios que não têm a definição "não delegada" ativada, realçando as que estão potencialmente expostas a riscos relacionados com a delegação. As contas com privilégios são contas que são membros de um grupo com privilégios, como Administradores de domínio, Administradores de esquemas, entre outros. 

Impacto do usuário

Se o sinalizador confidencial estiver desativado, os atacantes poderão explorar a delegação de Kerberos para utilizar indevidamente credenciais de conta com privilégios, levando a acesso não autorizado, movimento lateral e potenciais falhas de segurança em toda a rede. Definir o sinalizador confidencial em contas de utilizador com privilégios impede que os utilizadores obtenham acesso à conta e manipulou as definições do sistema.
Para contas de dispositivo, defini-las como "não delegadas" é importante para impedir que sejam utilizadas em qualquer cenário de delegação, garantindo que as credenciais neste computador não podem ser reencaminhadas para aceder a outros serviços.

Implementação

  1. Reveja a lista de entidades expostas para descobrir quais das suas contas privilegiadas não têm o sinalizador de configuração "esta conta é confidencial e não pode ser delegada".

  2. Tome as medidas adequadas nessas contas:

  • Para contas de utilizador: ao definir os sinalizadores de controlo da conta como "esta conta é confidencial e não pode ser delegada". No separador Conta, selecione a caixa de marcar para este sinalizador na secção Opções da Conta. Isto impede que os utilizadores obtenham acesso à conta e manipulou as definições do sistema.  

    Captura de ecrã do perfil de utilizador.

  • Para contas de dispositivo:
    A abordagem mais segura é utilizar um script do PowerShell para configurar o dispositivo para impedir que seja utilizado em qualquer cenário de delegação, garantindo que as credenciais neste computador não podem ser reencaminhadas para aceder a outros serviços.

    $name = "ComputerA" 
Get-ADComputer -Identity $name |
Set-ADAccountControl -AccountNotDelegated:$true

    Outra opção é definir o UserAccountControl atributo como NOT_DELEGATED = 0x100000 no separador Atributo Editor do dispositivo exposto.

    Por exemplo:

    Captura de ecrã do perfil do dispositivo.

Entidades que expõem credenciais em texto não encriptado

Descrição

Esta avaliação de segurança monitoriza o tráfego de quaisquer entidades que exponham credenciais em texto não encriptado e alerta-o para os riscos de exposição atuais (entidades mais afetadas) na sua organização com a remediação sugerida.

Impacto do usuário

As entidades que expõem credenciais em texto não encriptado são arriscadas não só para a entidade exposta em questão, mas para toda a organização.

O risco acrescido deve-se ao facto de o tráfego não seguro, como o simple-bind LDAP, ser altamente suscetível à intercepção por ataques atacantes no meio. Estes tipos de ataques resultam em atividades maliciosas, incluindo a exposição de credenciais, nas quais um atacante pode tirar partido das credenciais para fins maliciosos.

Implementação

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions.

    Impedir a exposição de credenciais de texto não encriptado.

    Reveja as entidades mais afetadas e crie um plano de ação.

  2. Pesque por que motivo essas entidades estão a utilizar o LDAP em texto não encriptado.

  3. Remediar os problemas e parar a exposição.

  4. Depois de confirmar a remediação, recomendamos que exija a assinatura LDAP ao nível do controlador de domínio. Para saber mais sobre a assinatura do servidor LDAP, veja Requisitos de assinatura do servidor LDAP do controlador de domínio.

Observação

Esta avaliação é atualizada quase em tempo real. Os relatórios mostram as entidades afetadas dos últimos 30 dias. Após esse período, as entidades que já não forem afetadas serão removidas da lista de entidades expostas.

Utilização da Microsoft LAPS

Descrição

A "Solução de Palavra-passe de Administrador Local" (LAPS) da Microsoft fornece a gestão de palavras-passe de conta de administrador local para computadores associados a um domínio. As palavras-passe são aleatórias e armazenadas no Active Directory (AD), protegidas por ACLs, pelo que apenas os utilizadores elegíveis podem lê-la ou pedir a reposição.

Esta avaliação de segurança suporta LAPS da Microsoft legada e LAPS do Windows.

Impacto do usuário

A LAPS fornece uma solução para o problema de utilização de uma conta local comum com uma palavra-passe idêntica em todos os computadores num domínio. A LAPS resolve este problema ao definir uma palavra-passe aleatória diferente e rodada para a conta de administrador local comum em todos os computadores do domínio.

A LAPS simplifica a gestão de palavras-passe ao mesmo tempo que ajuda os clientes a implementar defesas mais recomendadas contra ciberataques. Em particular, a solução mitiga o risco de escalamento lateral que resulta quando os clientes utilizam a mesma conta local administrativa e combinação de palavras-passe nos respetivos computadores. A LAPS armazena a palavra-passe da conta de administrador local de cada computador no AD, protegida num atributo confidencial no objeto do AD correspondente do computador. O computador pode atualizar os seus próprios dados de palavra-passe no AD e os administradores de domínio podem conceder acesso de leitura a utilizadores ou grupos autorizados, como administradores de suporte técnico da estação de trabalho.

Observação

Em alguns casos, Microsoft Entra máquinas híbridas associadas ainda poderão aparecer na avaliação da postura de segurança, mesmo que a LAPS esteja configurada no ID Microsoft Entra. Tal pode dever-se à forma como a política é aplicada ou à forma como o dispositivo comunica o seu estado. Se isto ocorrer, sugerimos que reveja a configuração da LAPS no Microsoft Entra ID para confirmar que está tudo configurado conforme esperado. Pode encontrar mais detalhes aqui.

Implementação

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais dos seus domínios têm alguns (ou todos) dispositivos Windows compatíveis que não estão protegidos por LAPS ou que não tiveram a palavra-passe gerida da LAPS alterada nos últimos 60 dias.

    Captura de ecrã a mostrar que domínios têm dispositivos desprotegidos pela LAPS.

  2. Para domínios que estão parcialmente protegidos, selecione a linha relevante para ver a lista de dispositivos não protegidos por LAPS nesse domínio.

    Captura de ecrã que mostra a lista de dispositivos não protegidos pela LAPS num domínio selecionado.

  3. Tome as medidas adequadas nesses dispositivos ao transferir, instalar e configurar ou resolver problemas da Microsoft LAPS ou laps do Windows.

    Captura de ecrã que mostra os passos de remediação para dispositivos desprotegidos pela LAPS.

Remover palavras-passe detetáveis nos atributos da conta do Active Directory (Pré-visualização)

Descrição

Alguns atributos de texto livre são muitas vezes ignorados durante a proteção, mas são legíveis por qualquer utilizador autenticado no domínio. Quando as credenciais ou pistas são armazenadas erradamente nestes atributos, os atacantes podem abusar das mesmas para se moverem lateralmente pelo ambiente ou escalar privilégios.

Os atacantes procuram caminhos de pouca fricção para expandir o acesso. As palavras-passe expostas nestes atributos representam uma vitória fácil porque:

  • Os atributos não são restritos ao acesso.

  • Não são monitorizados por predefinição.

  • Fornecem que os atacantes de contexto podem explorar o movimento lateral e o escalamento de privilégios.

Remover credenciais expostas destes atributos reduz o risco de comprometimento de identidade e reforça a postura de segurança da sua organização.

Observação

Os resultados podem incluir falsos positivos. Valide sempre os resultados antes de efetuar uma ação.

Microsoft Defender para Identidade deteta uma potencial exposição de credenciais no Active Directory através da análise de atributos de texto livre utilizados frequentemente. Isto inclui procurar formatos de palavra-passe comuns, sugestões, 'description', 'info'e 'adminComment' campos e outras pistas contextuais que possam sugerir a presença de utilização indevida de credenciais. Esta recomendação utiliza a análise com tecnologia GenAI dos atributos do Active Directory para detetar:

  • Palavras-passe ou variações de texto simples. Por exemplo, "Password=Summer2025!'

  • Padrões de credenciais, sugestões de reposição ou informações confidenciais da conta.

  • Outros indicadores que sugerem uma utilização indevida operacional dos campos de diretório.

As correspondências detetadas são apresentadas na Classificação de Segurança e no relatório de Avaliação de Segurança para revisão e remediação.

Implementação

Para abordar esta avaliação de segurança, siga estes passos:

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions Para Remover palavras-passe detetáveis nos atributos da conta do Active Directory.

  2. Reveja as entradas expostas no relatório de segurança. Identifique qualquer conteúdo de campo que inclua:

    • Limpar palavras-passe de texto

    • Repor instruções ou pistas de credenciais

    • Informações confidenciais da empresa ou do sistema

  3. Remova informações confidenciais dos campos de atributo listados com ferramentas de gestão de diretórios padrão (por exemplo, PowerShell ou Edição ADSI).

  4. Remova totalmente as informações confidenciais. Não se esqueça de mascarar o valor. A ocultação parcial (por exemplo, P@ssw***) ainda pode oferecer pistas úteis aos atacantes.

Remover Contas de Serviço Obsoletos (Pré-visualização)

Descrição

Esta recomendação lista as contas de serviço do Active Directory detetadas como obsoletas nos últimos 90 dias.

Impacto do usuário

As contas de serviço não utilizadas criam riscos de segurança significativos, uma vez que algumas delas podem ter privilégios elevados. Se os atacantes obtiverem acesso, o resultado pode ser um dano substancial. As contas de serviço obsoletas podem manter permissões elevadas ou legadas. Quando comprometidos, fornecem aos atacantes pontos de entrada discretos em sistemas críticos, concedendo muito mais acesso do que uma conta de utilizador padrão.

Esta exposição cria vários riscos:

  • Acesso não autorizado a aplicações e dados confidenciais.

  • Movimento lateral na rede sem deteção.

Implementação

Para utilizar esta avaliação de segurança de forma eficaz, siga estes passos:

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions  Para Remover conta de serviço obsoleto.

  2. Reveja a lista de entidades expostas para descobrir quais das suas contas de serviço estão obsoletos e não realizaram nenhuma atividade de início de sessão nos últimos 90 dias.

  3. Efetue as ações adequadas nessas entidades ao remover a conta de serviço. Por exemplo:

    • Desative a conta: Impeça qualquer utilização ao desativar a conta identificada como exposta.

    • Monitorize o impacto: Aguarde várias semanas e monitorize problemas operacionais, como interrupções ou erros do serviço.

    • Elimine a conta: Se não forem observados problemas, elimine a conta e remova totalmente o respetivo acesso.

Caminhos de movimento lateral mais arriscados (LMP)

Descrição

Microsoft Defender para Identidade monitoriza continuamente o seu ambiente para identificar contas confidenciais com os caminhos de movimento lateral mais arriscados que expõem um risco de segurança e relatórios sobre estas contas para ajudá-lo na gestão do seu ambiente. Os caminhos são considerados arriscados se tiverem três ou mais contas não confidenciais que possam expor a conta confidencial ao roubo de credenciais por atores maliciosos.

Para obter mais informações sobre caminhos de movimento lateral, consulte:

Impacto do usuário

As organizações que não conseguem proteger as suas contas confidenciais deixam a porta destrancada para os atores maliciosos.

Os atores maliciosos, tal como os ladrões, procuram frequentemente a forma mais fácil e silenciosa de entrar em qualquer ambiente. Contas confidenciais com caminhos de movimento lateral de risco são janelas de oportunidades para os atacantes e podem expor riscos.

Por exemplo, os caminhos mais arriscados são mais facilmente visíveis para os atacantes e, se forem comprometidos, podem dar a um atacante acesso às entidades mais confidenciais da sua organização.

Implementação

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais das suas contas confidenciais têm LMPs de risco.

    Captura de ecrã que mostra as entidades afetadas e as ações a tomar para reduzir o risco de caminho de movimento lateral para entidades confidenciais.

  2. Tome as medidas adequadas:

    • Remova a entidade do grupo conforme especificado na recomendação.
    • Remova as permissões de administrador local para a entidade do dispositivo especificado na recomendação.

Delegação de Kerberos não seguras

Descrição

A delegação kerberos é uma definição de delegação que permite que as aplicações solicitem credenciais de acesso do utilizador final para aceder aos recursos em nome do utilizador de origem.

Impacto do usuário

A delegação Kerberos não seguras dá a uma entidade a capacidade de o representar para qualquer outro serviço escolhido. Por exemplo, imagine que tem um site do IIS e que a conta do conjunto aplicacional está configurada com delegação sem restrições. O site do IIS também tem a Autenticação do Windows ativada, permitindo a autenticação Kerberos nativa e o site utiliza uma SQL Server de back-end para dados empresariais. Com a sua conta do Domain Administração, navega para o site do IIS e autentica-o. O site, através da delegação sem restrições, pode obter uma permissão de serviço de um controlador de domínio para o serviço SQL e fazê-lo no seu nome.

O principal problema com a delegação de Kerberos é que tem de confiar na aplicação para fazer sempre o que está certo. Os atores maliciosos podem, em vez disso, forçar a aplicação a fazer a coisa errada. Se tiver sessão iniciada como administrador de domínio, o site pode criar um pedido de suporte para quaisquer outros serviços que pretenda, agindo como você, o administrador de domínio. Por exemplo, o site pode escolher um controlador de domínio e fazer alterações ao grupo de administradores da empresa . Da mesma forma, o site pode adquirir o hash da conta KRBTGT ou transferir um ficheiro interessante do seu departamento de Recursos Humanos. O risco é claro e as possibilidades com a delegação não seguras são quase infinitas.

Segue-se uma descrição do risco colocado por diferentes tipos de delegação:

  • Delegação sem restrições: qualquer serviço pode ser abusado se uma das respetivas entradas de delegação for sensível.
  • Delegação restrita: as entidades restritas podem ser abusadas se uma das respetivas entradas de delegação for sensível.
  • Delegação restrita baseada em recursos (RBCD): as entidades restritas baseadas em recursos podem ser abusadas se a própria entidade for sensível.

Implementação

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais das entidades que não são do controlador de domínio estão configuradas para delegação kerberos não seguras.

    Captura de ecrã que mostra a avaliação de segurança da delegação Kerberos não seguras.

  2. Tome as medidas adequadas para os utilizadores em risco, como remover o atributo não preparado ou alterá-lo para uma delegação restrita mais segura.

  3. Utilize a remediação adequada ao seu tipo de delegação.

  4. Desative a delegação ou utilize um dos seguintes tipos de delegação restrita de Kerberos (KCD):

Delegação sem restrições

  1. Selecione Confiar neste computador para delegação apenas aos serviços especificados. Captura de ecrã que mostra a opção de confiar neste computador para delegação apenas para serviços especificados.

  2. Especifique os Serviços aos quais esta conta pode apresentar credenciais delegadas.

Delegação restrita

Restringe os serviços que esta conta pode representar.

  1. Reveja os utilizadores confidenciais listados nas recomendações e remova-os dos serviços aos quais a conta afetada pode apresentar credenciais delegadas.

    Captura de ecrã a mostrar uma lista de entidades expostas com a recomendação para modificar a delegação kerberos não seguras para impedir a representação.

Delegação restrita baseada em recursos (RBCD)

A delegação restrita baseada em recursos restringe as entidades que podem representar esta conta. O KCD baseado em recursos é configurado com o PowerShell.

  1. Pode utilizar os cmdlets Set-ADComputer ou Set-ADUser, consoante a conta de representação seja uma conta de computador ou uma conta de utilizador/conta de serviço.

  2. Reveja os utilizadores confidenciais listados nas recomendações e remova-os do recurso. Para obter mais informações sobre como configurar o RBCD, veja Configurar a delegação restrita de Kerberos (KCD) no Microsoft Entra Domain Services.

Atributos do Histórico de SID não inseguros

Descrição

O Histórico de SID é um atributo que suporta cenários de migração. Cada conta de utilizador tem um IDentifier de Segurança (SID) associado que é utilizado para controlar o principal de segurança e o acesso que a conta tem quando se liga aos recursos. O Histórico de SID permite que o acesso a outra conta seja efetivamente clonado para outra e é extremamente útil para garantir que os utilizadores mantêm o acesso quando movidos (migrados) de um domínio para outro.

A avaliação verifica a existência de contas com atributos do Histórico de SID que Microsoft Defender para que os perfis de Identidade sejam arriscados.

Impacto do usuário

As organizações que não conseguem proteger os seus atributos de conta deixam a porta desbloqueada para atores maliciosos.

Os atores maliciosos, tal como os ladrões, procuram frequentemente a forma mais fácil e silenciosa de entrar em qualquer ambiente. As contas configuradas com um atributo histórico de SID inseguro são janelas de oportunidades para atacantes e podem expor riscos.

Por exemplo, uma conta não confidencial num domínio pode conter o SID de Administração Empresarial no respetivo Histórico de SID de outro domínio na floresta do Active Directory, o que "eleva" o acesso da conta de utilizador a um Administração de Domínio efetivo em todos os domínios na floresta. Além disso, se tiver uma confiança de floresta sem a Filtragem de SID ativada (também denominada Quarentena), é possível injetar um SID de outra floresta e será adicionado ao token de utilizador quando autenticado e utilizado para avaliações de acesso.

Implementação

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais das suas contas têm um atributo histórico de SID não inseguro.

    Captura de ecrã que mostra as ações de melhoria para Remover atributos do Histórico de SID não inseguros.

  2. Tome as medidas adequadas para remover o atributo Histórico de SID das contas com o PowerShell através dos seguintes passos:

    1. Identifique o SID no atributo SIDHistory na conta.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory

    2. Remova o atributo SIDHistory com o SID identificado anteriormente.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}

Anular a secção de atributos de conta

Descrição

Microsoft Defender para Identidade monitoriza continuamente o seu ambiente para identificar contas com valores de atributo que expõem um risco de segurança e relatórios sobre estas contas para o ajudar a proteger o seu ambiente.

Impacto do usuário

As organizações que não conseguem proteger os seus atributos de conta deixam a porta desbloqueada para atores maliciosos.

Os atores maliciosos, tal como os ladrões, procuram frequentemente a forma mais fácil e silenciosa de entrar em qualquer ambiente. As contas configuradas com atributos não inseguros são janelas de oportunidade para os atacantes e podem expor riscos.

Por exemplo, se o atributo PasswordNotRequired estiver ativado, um atacante pode aceder facilmente à conta. Isto é especialmente arriscado se a conta tiver acesso privilegiado a outros recursos.

Implementação

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais das suas contas têm atributos inseguros.

    Captura de ecrã que mostra uma lista de atributos de conta não inseguros que têm de ser resolvidos.

  2. Tome as medidas adequadas nessas contas de utilizador ao modificar ou remover os atributos relevantes.

  3. Utilize a remediação adequada ao atributo relevante, conforme descrito na tabela seguinte:

Ação recomendada Remediação Reason
Remover Não exigir pré-autenticação kerberos Remover esta definição das propriedades da conta no Active Directory (AD) A remoção desta definição requer uma pré-autenticação Kerberos para a conta, o que resulta numa segurança melhorada.
Remover a palavra-passe do Store com encriptação reversível Remover esta definição das propriedades da conta no AD Remover esta definição impede uma desencriptação fácil da palavra-passe da conta.
Remover Palavra-passe não necessária Remover esta definição das propriedades da conta no AD A remoção desta definição requer a utilização de uma palavra-passe com a conta e ajuda a impedir o acesso não autorizado aos recursos.
Remover Palavra-passe armazenada com encriptação fraca Repor a palavra-passe da conta A alteração da palavra-passe da conta permite a utilização de algoritmos de encriptação mais fortes para a respetiva proteção.
Ativar o suporte de encriptação kerberos AES Ativar as funcionalidades do AES nas propriedades da conta no AD Ativar AES128_CTS_HMAC_SHA1_96 ou AES256_CTS_HMAC_SHA1_96 na conta ajuda a impedir a utilização de cifras de encriptação mais fracas para a autenticação Kerberos.
Remover utilizar tipos de encriptação DES Kerberos para esta conta Remover esta definição das propriedades da conta no AD A remoção desta definição permite a utilização de algoritmos de encriptação mais fortes para a palavra-passe da conta.
Remover um Nome principal de serviço (SPN) Remover esta definição das propriedades da conta no AD Quando uma conta de utilizador é configurada com um conjunto de SPN, significa que a conta foi associada a um ou mais SPNs. Normalmente, isto ocorre quando um serviço é instalado ou registado para ser executado numa conta de utilizador específica e o SPN é criado para identificar exclusivamente a área de trabalho do serviço para autenticação Kerberos. Esta recomendação só foi apresentada para contas confidenciais.
Repor palavra-passe como SmartcardDefinição de requisitos foi removida Repor a palavra-passe da conta Alterar a palavra-passe da conta depois de o sinalizador UAC SmartcardRequired ter sido removido garante que foi definido de acordo com as políticas de segurança atuais. Isto ajuda a evitar uma possível exposição de palavras-passe criadas quando a imposição do smartcard ainda estava ativa.

  1. Utilize o sinalizador UserAccountControl (UAC) para manipular perfis de conta de utilizador. Para saber mais, confira:

Próximas etapas

  • Last updated on