安全评估:不安全的帐户属性
什么是不安全的帐户属性?
Microsoft Defender for Identity 持续监视环境,以识别具有暴露安全风险的属性值的帐户,并报告这些帐户,以帮助你保护环境。
不安全的帐户属性构成哪些风险?
未能保护其帐户属性的组织会为恶意参与者解锁大门。
恶意演员,很像窃贼,经常寻找最简单和最安静的方式进入任何环境。 配置了不安全属性的帐户是攻击者的机会窗口,可能会暴露风险。
例如,如果 启用了 PasswordNotRequired 属性,攻击者可以轻松访问该帐户。 如果帐户具有对其他资源的特权访问权限,这尤其有风险。
如何实现使用此安全评估?
查看建议的操作 https://security.microsoft.com/securescore?viewid=actions ,发现哪些帐户具有不安全的属性。
通过修改或删除相关属性对这些用户帐户采取适当的操作。
补救
根据下表中所述,使用适用于相关属性的修正。
| 建议的操作 | 补救 | 原因 |
|---|---|---|
| 删除不需要 Kerberos 预身份验证 | 从 Active Directory 中的帐户属性中删除此设置 (AD) | 删除此设置需要对帐户进行 Kerberos 预身份验证,从而提高安全性。 |
| 使用可逆加密删除应用商店密码 | 从 AD 中的帐户属性中删除此设置 | 删除此设置可防止轻松解密帐户的密码。 |
| 删除密码不是必需的 | 从 AD 中的帐户属性中删除此设置 | 删除此设置需要将密码用于帐户,并帮助防止未经授权的资源访问。 |
| 删除使用弱加密存储的密码 | 重置帐户密码 | 更改帐户的密码可使更强的加密算法用于保护。 |
| 启用 Kerberos AES 加密支持 | 在 AD 中的帐户属性上启用 AES 功能 | 在帐户上启用AES128_CTS_HMAC_SHA1_96或AES256_CTS_HMAC_SHA1_96有助于防止使用较弱的加密密码进行 Kerberos 身份验证。 |
| 删除此帐户的 Kerberos DES 加密类型 | 从 AD 中的帐户属性中删除此设置 | 删除此设置可对帐户的密码使用更强的加密算法。 |
| 删除服务主体名称 (SPN) | 从 AD 中的帐户属性中删除此设置 | 使用 SPN 集配置用户帐户时,这意味着该帐户已与一个或多个 SPN 相关联。 这通常发生在安装或注册到特定用户帐户下运行的服务时,并且创建 SPN 以唯一标识 Kerberos 身份验证的服务工作区。 此建议仅针对敏感帐户显示。 |
使用 UserAccountControl 标志操作用户帐户配置文件。 有关详细信息,请参阅:
- Windows Server 疑难解答文档。
- 用户属性 - 帐户部分
- Introduction to Active Directory Administrative Center Enhancements (Level 100)
- Active Directory 管理员istration Center
注意
虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响的实体列表在实施建议后的几分钟内更新,但状态可能需要一段时间才能将其标记为 “已完成”。