Güvenlik değerlendirmesi: Güvenli olmayan hesap öznitelikleri
Güvenli olmayan hesap öznitelikleri nelerdir?
Kimlik için Microsoft Defender, güvenlik riski oluşturan öznitelik değerlerine sahip hesapları belirlemek için ortamınızı sürekli izler ve ortamınızı korumanıza yardımcı olmak için bu hesaplarda raporlar.
Güvenli olmayan hesap öznitelikleri hangi riski oluşturur?
Hesap özniteliklerinin güvenliğini sağlayemeyen kuruluşlar, kötü amaçlı aktörler için kapıyı açık bırakır.
Hırsızlara çok benzeyen kötü niyetli aktörler genellikle herhangi bir ortama en kolay ve en sessiz yolu ararlar. Güvenli olmayan özniteliklerle yapılandırılan hesaplar, saldırganlar için fırsat pencereleridir ve riskleri ortaya çıkarabilir.
Örneğin, PasswordNotRequired özniteliği etkinleştirilirse, saldırgan hesaba kolayca erişebilir. Hesabın diğer kaynaklara ayrıcalıklı erişimi varsa bu özellikle risklidir.
Bu güvenlik değerlendirme Nasıl yaparım? kullanılır?
Hangi hesaplarınızın güvenli olmayan özniteliklere sahip olduğunu bulmak için adresinde önerilen eylemi https://security.microsoft.com/securescore?viewid=actions gözden geçirin.
İlgili öznitelikleri değiştirerek veya kaldırarak bu kullanıcı hesaplarında uygun eylemleri gerçekleştirin.
Düzeltme
Aşağıdaki tabloda açıklandığı gibi ilgili özniteliğe uygun düzeltmeyi kullanın.
| Önerilen eylem | Düzeltme | Nedeni |
|---|---|---|
| Kaldır Kerberos ön kimlik doğrulaması gerektirmez | Bu ayarı Active Directory'deki (AD) hesap özelliklerinden kaldır | Bu ayarın kaldırılması için hesap için Kerberos ön kimlik doğrulaması yapılması gerekir ve bu da güvenliğin artırılmasını sağlar. |
| Ters çevrilebilir şifreleme kullanarak Mağaza parolasını kaldırma | BU ayarı AD'deki hesap özelliklerinden kaldır | Bu ayarın kaldırılması, hesabın parolasının kolay şifre çözmesini engeller. |
| Parolayı Kaldır gerekli değil | BU ayarı AD'deki hesap özelliklerinden kaldır | Bu ayarın kaldırılması, hesapta parola kullanılmasını gerektirir ve kaynaklara yetkisiz erişimin önlenmesine yardımcı olur. |
| Zayıf şifreleme ile depolanan Parolayı kaldırma | Hesap parolasını sıfırlama | Hesabın parolasını değiştirmek, daha güçlü şifreleme algoritmalarının korunması için kullanılmasını sağlar. |
| Kerberos AES şifreleme desteğini etkinleştirme | AD'deki hesap özelliklerinde AES özelliklerini etkinleştirme | Hesapta AES128_CTS_HMAC_SHA1_96 veya AES256_CTS_HMAC_SHA1_96 etkinleştirilmesi, Kerberos kimlik doğrulaması için daha zayıf şifreleme şifrelemelerinin kullanılmasını önlemeye yardımcı olur. |
| Kaldır Bu hesap için Kerberos DES şifreleme türlerini kullan | BU ayarı AD'deki hesap özelliklerinden kaldır | Bu ayarın kaldırılması, hesabın parolası için daha güçlü şifreleme algoritmaları kullanılmasını sağlar. |
| Hizmet Asıl Adını (SPN) Kaldırma | BU ayarı AD'deki hesap özelliklerinden kaldır | Bir kullanıcı hesabı bir SPN kümesiyle yapılandırıldığında, hesabın bir veya daha fazla SPN ile ilişkilendirildiği anlamına gelir. Bu durum genellikle bir hizmet belirli bir kullanıcı hesabı altında çalıştırılacak şekilde yüklendiğinde veya kaydedildiğinde ve SPN, Kerberos kimlik doğrulaması için hizmet çalışma alanını benzersiz olarak tanımlamak üzere oluşturulduğunda oluşur. Bu öneri yalnızca hassas hesaplar için gösterildi. |
Kullanıcı hesabı profillerini işlemek için UserAccountControl bayrağını kullanın. Daha fazla bilgi için bkz.
- Windows Server sorun giderme belgeleri.
- Kullanıcı Özellikleri - Hesap Bölümü
- Active Directory Yönetici Istrative Center Geliştirmelerine Giriş (Düzey 100)
- Active Directory Yönetici Istration Center
Dekont
Değerlendirmeler neredeyse gerçek zamanlı olarak güncelleştirilirken, puanlar ve durumlar 24 saatte bir güncelleştirilir. Etkilenen varlıkların listesi, önerileri uyguladıktan sonra birkaç dakika içinde güncelleştirilse de, durum Tamamlandı olarak işaretlenmesi yine de zaman alabilir.