Säkerhetsbedömning: Osäkra kontoattribut
Vad är osäkra kontoattribut?
Microsoft Defender for Identity övervakar kontinuerligt din miljö för att identifiera konton med attributvärden som exponerar en säkerhetsrisk och rapporterar om dessa konton för att hjälpa dig att skydda din miljö.
Vilken risk utgör oskyddade kontoattribut?
Organisationer som inte kan skydda sina kontoattribut lämnar dörren olåst för skadliga aktörer.
Skadliga aktörer, ungefär som tjuvar, letar ofta efter den enklaste och tystaste vägen in i alla miljöer. Konton som konfigurerats med osäkra attribut är möjligheter för angripare och kan exponera risker.
Om attributet PasswordNotRequired till exempel är aktiverat kan en angripare enkelt komma åt kontot. Detta är särskilt riskabelt om kontot har privilegierad åtkomst till andra resurser.
Hur gör jag för att använda den här säkerhetsbedömningen?
Granska den rekommenderade åtgärden för att ta reda på https://security.microsoft.com/securescore?viewid=actions vilka av dina konton som har osäkra attribut.
Vidta lämpliga åtgärder för dessa användarkonton genom att ändra eller ta bort relevanta attribut.
Åtgärder
Använd den reparation som är lämplig för det relevanta attributet enligt beskrivningen i följande tabell.
| Rekommenderad åtgärd | Åtgärder | Anledning |
|---|---|---|
| Ta bort Kräv inte Kerberos-förautentisering | Ta bort den här inställningen från kontoegenskaper i Active Directory (AD) | Om du tar bort den här inställningen krävs en Kerberos-förautentisering för kontot, vilket resulterar i förbättrad säkerhet. |
| Ta bort Store-lösenord med reversibel kryptering | Ta bort den här inställningen från kontoegenskaper i AD | Om du tar bort den här inställningen förhindras enkel dekryptering av kontots lösenord. |
| Ta bort lösenord krävs inte | Ta bort den här inställningen från kontoegenskaper i AD | Om du tar bort den här inställningen måste ett lösenord användas med kontot och förhindra obehörig åtkomst till resurser. |
| Ta bort lösenord som lagras med svag kryptering | Återställa kontolösenordet | Genom att ändra kontots lösenord kan starkare krypteringsalgoritmer användas för dess skydd. |
| Aktivera Kerberos AES-krypteringsstöd | Aktivera AES-funktioner för kontoegenskaperna i AD | Genom att aktivera AES128_CTS_HMAC_SHA1_96 eller AES256_CTS_HMAC_SHA1_96 på kontot kan du förhindra att svagare krypteringskryptering används för Kerberos-autentisering. |
| Ta bort Använd Kerberos DES-krypteringstyper för det här kontot | Ta bort den här inställningen från kontoegenskaper i AD | Om du tar bort den här inställningen kan du använda starkare krypteringsalgoritmer för kontots lösenord. |
| Ta bort ett namn på tjänstens huvudnamn (SPN) | Ta bort den här inställningen från kontoegenskaper i AD | När ett användarkonto har konfigurerats med en SPN-uppsättning innebär det att kontot har associerats med ett eller flera SPN. Detta inträffar vanligtvis när en tjänst installeras eller registreras för att köras under ett specifikt användarkonto, och SPN skapas för att unikt identifiera tjänstarbetsytan för Kerberos-autentisering. Den här rekommendationen visas endast för känsliga konton. |
Använd flaggan UserAccountControl för att ändra användarkontoprofiler. Mer information finns i:
- Dokumentation för felsökning av Windows Server.
- Användaregenskaper – kontoavsnitt
- Introduktion till Förbättringar i Active Directory Administrationscenter (nivå 100)
- Active Directory Administrationscenter
Kommentar
Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över berörda entiteter uppdateras inom några minuter efter implementeringen av rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.