Del via

Sikkerhedsvurdering: Sørg for, at privilegerede konti ikke delegeres

  • Artikel

Denne anbefaling viser alle privilegerede konti, der ikke har indstillingen "ikke uddelegeret" aktiveret, og fremhæver dem, der kan være udsat for delegeringsrelaterede risici. Privilegerede konti er konti, der er medlemmer af en privilegeret gruppe, f.eks. domæneadministratorer, skemaadministratorer osv. 

Organisationsrisiko

Hvis det følsomme flag er deaktiveret, kan hackere udnytte Kerberos-delegering til at misbruge privilegerede kontolegitimationsoplysninger, hvilket fører til uautoriseret adgang, tværgående bevægelse og potentielle brud på sikkerheden på netværket. Hvis du angiver det følsomme flag for privilegerede brugerkonti, kan brugerne ikke få adgang til kontoen og ændre systemindstillingerne.
For enhedskonti er det vigtigt at angive dem til "ikke-delegeret" for at forhindre, at de bruges i et hvilket som helst delegeringsscenarie, hvilket sikrer, at legitimationsoplysninger på denne computer ikke kan videresendes for at få adgang til andre tjenester.

Afhjælpningstrin

  1. Gennemse listen over viste enheder for at finde ud af, hvilke af dine privilegerede konti der ikke har konfigurationsflaget "denne konto er følsom og kan ikke delegeres".

  2. Udfør de nødvendige foranstaltninger på disse konti:

  • For brugerkonti: Ved at angive kontoens kontrolflag til "denne konto er følsom og kan ikke delegeres". Under fanen Konto skal du markere afkrydsningsfeltet til dette flag i afsnittet Kontoindstillinger. Dette forhindrer brugerne i at få adgang til kontoen og ændre systemindstillingerne.  
    Skærmbillede af brugerprofil.

  • For enhedskonti:
    Den sikreste metode er at bruge et PowerShell-script til at konfigurere enheden for at forhindre, at den bruges i et delegeringsscenarie, hvilket sikrer, at legitimationsoplysningerne på denne computer ikke kan videresendes for at få adgang til andre tjenester.

    $name = "ComputerA" 
Get-ADComputer -Identity $name |
Set-ADAccountControl -AccountNotDelegated:$true

    En anden mulighed er at angive attributten UserAccountControl til NOT_DELEGATED = 0x100000 under fanen Attribut Editor for den viste enhed.

    Det kan f.eks. være:

    Skærmbillede af enhedsprofil.

Næste trin

Få mere at vide om Microsoft Secure Score