Posouzení zabezpečení: Nezabezpečené atributy účtu
Co jsou nezabezpečené atributy účtu?
Microsoft Defender for Identity průběžně monitoruje vaše prostředí, aby identifikovala účty s hodnotami atributů, které vystavují bezpečnostní riziko, a sestavy o těchto účtech, které vám pomůžou chránit vaše prostředí.
Jaké riziko představují nezabezpečené atributy účtu?
Organizace, kterým se nepodaří zabezpečit atributy svého účtu, nechávají dveře pro aktéry se zlými úmysly odemknuté.
Zlovolní aktéři, podobně jako zloději, často hledají nejjednodušší a nejklidnější cestu do jakéhokoli prostředí. Účty nakonfigurované s nezabezpečenými atributy jsou pro útočníky příležitostí a můžou vystavit rizika.
Pokud je například povolen atribut PasswordNotRequired , útočník má k účtu snadný přístup. To je zvlášť rizikové, pokud má účet privilegovaný přístup k jiným prostředkům.
Návody použít toto posouzení zabezpečení?
Projděte si doporučenou akci v části https://security.microsoft.com/securescore?viewid=actions a zjistěte, které z vašich účtů mají nezabezpečené atributy.
U těchto uživatelských účtů proveďte příslušnou akci úpravou nebo odebráním příslušných atributů.
Náprava
Použijte nápravu odpovídající příslušnému atributu, jak je popsáno v následující tabulce.
| Doporučená akce | Náprava | Důvod |
|---|---|---|
| Odebrat Nevyžadovat předběžné ověřování protokolem Kerberos | Odebrání tohoto nastavení z vlastností účtu ve službě Active Directory (AD) | Odebrání tohoto nastavení vyžaduje předběžné ověření protokolu Kerberos pro účet, což vede k lepšímu zabezpečení. |
| Odebrání hesla služby Store pomocí reverzibilního šifrování | Odebrání tohoto nastavení z vlastností účtu ve službě AD | Odebrání tohoto nastavení zabrání snadnému dešifrování hesla účtu. |
| Nepožaduje se heslo. | Odebrání tohoto nastavení z vlastností účtu ve službě AD | Odebrání tohoto nastavení vyžaduje použití hesla s účtem a pomáhá zabránit neoprávněnému přístupu k prostředkům. |
| Odebrat heslo uložené se slabým šifrováním | Resetování hesla účtu | Změna hesla účtu umožní použití silnějších šifrovacích algoritmů k jeho ochraně. |
| Povolení podpory šifrování Kerberos AES | Povolení funkcí AES ve vlastnostech účtu ve službě AD | Povolení AES128_CTS_HMAC_SHA1_96 nebo AES256_CTS_HMAC_SHA1_96 v účtu pomáhá zabránit použití slabších šifrovacích šifer pro ověřování protokolem Kerberos. |
| Odebrat použití typů šifrování Kerberos DES pro tento účet | Odebrání tohoto nastavení z vlastností účtu ve službě AD | Odebráním tohoto nastavení povolíte použití silnějších šifrovacích algoritmů pro heslo účtu. |
| Odebrání hlavního názvu služby (SPN) | Odebrání tohoto nastavení z vlastností účtu ve službě AD | Pokud je uživatelský účet nakonfigurovaný se sadou hlavního názvu služby (SPN), znamená to, že je účet přidružený k jednomu nebo několika hlavním názvům služby . K tomu obvykle dochází v případě, že je služba nainstalovaná nebo zaregistrovaná ke spuštění pod konkrétním uživatelským účtem a hlavní název služby je vytvořen za účelem jedinečné identifikace pracovního prostoru služby pro ověřování protokolem Kerberos. Toto doporučení se zobrazilo pouze pro citlivé účty. |
Pomocí příznaku UserAccountControl můžete manipulovat s profily uživatelských účtů. Další informace najdete tady:
- Windows Server dokumentaci k řešení potíží.
- Vlastnosti uživatele – oddíl účtu
- Úvod do vylepšení Centra správy služby Active Directory (úroveň 100)
- Centrum správy služby Active Directory
Poznámka
Zatímco se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit aktualizuje během několika minut od implementace doporučení, může stav ještě nějakou dobu trvat, než se označí jako Dokončeno.