安全性評估:不安全的帳戶屬性
什麼是不安全的帳戶屬性?
適用於身分識別的 Microsoft Defender 持續監視您的環境,以識別具有屬性值的帳戶,這些帳戶會公開安全性風險,並報告這些帳戶,以協助您保護環境。
不安全的帳戶屬性構成哪些風險?
無法保護其帳戶屬性的組織,讓惡意執行者無法鎖定大門。
惡意演員,非常像竊賊,經常尋找最簡單和最安靜的方式進入任何環境。 使用不安全屬性設定的帳戶是攻擊者的機會視窗,而且可能會暴露風險。
例如,如果 已啟用PasswordNotRequired 屬性,攻擊者就可以輕鬆地存取帳戶。 如果帳戶具有其他資源的特殊許可權存取權,這特別有風險。
如何? 使用此安全性評定嗎?
檢閱 的建議 https://security.microsoft.com/securescore?viewid=actions 動作,以探索哪些帳戶具有不安全的屬性。
修改或移除相關的屬性,對這些使用者帳戶採取適當的動作。
補救
使用適用於相關屬性的補救,如下表所述。
| 建議的動作 | 補救 | 原因 |
|---|---|---|
| 拿掉 不需要 Kerberos 預先驗證 | 從 Active Directory 中的帳戶屬性移除此設定 (AD) | 拿掉此設定需要帳戶的 Kerberos 預先驗證,以提升安全性。 |
| 使用可逆加密移除市集密碼 | 從 AD 中的帳戶屬性移除此設定 | 拿掉此設定可防止輕鬆解密帳戶的密碼。 |
| 不需要移除密碼 | 從 AD 中的帳戶屬性移除此設定 | 拿掉此設定需要搭配帳戶使用密碼,並協助防止未經授權的資源存取。 |
| 拿掉以弱式加密儲存的密碼 | 重設帳戶密碼 | 變更帳戶的密碼可讓更強大的加密演算法用於保護。 |
| 啟用 Kerberos AES 加密支援 | 在 AD 中的帳戶屬性上啟用 AES 功能 | 在帳戶上啟用AES128_CTS_HMAC_SHA1_96或AES256_CTS_HMAC_SHA1_96有助於防止使用較弱的加密加密加密進行 Kerberos 驗證。 |
| 拿掉使用此帳戶的 Kerberos DES 加密類型 | 從 AD 中的帳戶屬性移除此設定 | 拿掉此設定可讓您針對帳戶的密碼使用更強的加密演算法。 |
| 移除服務主體名稱 (SPN) | 從 AD 中的帳戶屬性移除此設定 | 當使用者帳戶設定為SPN集合時,表示該帳戶已與一或多個SPN相關聯。 這通常會在安裝或註冊服務以在特定用戶帳戶下執行時發生,而且會建立SPN來唯一識別 Kerberos 驗證的服務工作區。 此建議只會針對敏感性帳戶顯示。 |
使用 UserAccountControl 旗標來操作用戶帳戶配置檔。 如需詳細資訊,請參閱
- Windows Server 疑難解答 檔。
- 用戶屬性 - 帳戶區段
- Active Directory 管理中心增強功能簡介 (層級 100)
- Active Directory 管理員 istration Center
注意
雖然評定會近乎即時地更新,但分數和狀態會每隔 24 小時更新一次。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間才能將其標示為 已完成。