Sikkerhedsvurdering: Ikke-sikre kontoattributter
Hvad er usikre kontoattributter?
Microsoft Defender for Identity overvåger løbende dit miljø for at identificere konti med attributværdier, der eksponerer en sikkerhedsrisiko, og rapporter om disse konti for at hjælpe dig med at beskytte dit miljø.
Hvilken risiko udgør usikre kontoattributter?
Organisationer, der ikke kan sikre deres kontoattributter, lader døren være ulåst for ondsindede aktører.
Ondsindede aktører, meget gerne tyve, ofte leder efter den nemmeste og roligste måde ind i et miljø. Konti, der er konfigureret med usikre attributter, er vinduer med muligheder for hackere og kan eksponere risici.
Hvis attributten PasswordNotRequired f.eks. er aktiveret, kan en hacker nemt få adgang til kontoen. Dette er især risikabelt, hvis kontoen har privilegeret adgang til andre ressourcer.
Hvordan gør jeg bruge denne sikkerhedsvurdering?
Gennemse den anbefalede handling på https://security.microsoft.com/securescore?viewid=actions for at finde ud af, hvilke af dine konti der har usikre attributter.
Udfør de relevante handlinger på disse brugerkonti ved at ændre eller fjerne de relevante attributter.
Oprydning
Brug den afhjælpning, der passer til den relevante attribut, som beskrevet i følgende tabel.
| Anbefalet handling | Oprydning | Årsag |
|---|---|---|
| Fjern Kræver ikke Kerberos-forhåndsgodkendelse | Fjern denne indstilling fra kontoegenskaber i Active Directory (AD) | Hvis du fjerner denne indstilling, kræver det en Kerberos-forhåndsgodkendelse for kontoen, hvilket resulterer i forbedret sikkerhed. |
| Fjern adgangskoden til Store ved hjælp af kryptering, der kan fortrydes | Fjern denne indstilling fra kontoegenskaber i AD | Hvis du fjerner denne indstilling, kan du nemt dekryptere kontoens adgangskode. |
| Fjern adgangskode er ikke påkrævet | Fjern denne indstilling fra kontoegenskaber i AD | Hvis du fjerner denne indstilling, kræver det, at der bruges en adgangskode til kontoen, og det hjælper med at forhindre uautoriseret adgang til ressourcer. |
| Fjern adgangskode, der er gemt med svag kryptering | Nulstil kontoens adgangskode | Ændring af kontoens adgangskode gør det muligt at bruge stærkere krypteringsalgoritmer til beskyttelse af kontoen. |
| Aktivér understøttelse af Kerberos AES-kryptering | Aktivér AES-funktioner for kontoegenskaberne i AD | Aktivering af AES128_CTS_HMAC_SHA1_96 eller AES256_CTS_HMAC_SHA1_96 på kontoen hjælper med at forhindre brugen af svagere krypteringsciffer til Kerberos-godkendelse. |
| Fjern Brug Kerberos DES-krypteringstyper for denne konto | Fjern denne indstilling fra kontoegenskaber i AD | Hvis du fjerner denne indstilling, kan du bruge stærkere krypteringsalgoritmer for kontoens adgangskode. |
| Fjern et tjenesteprincipalnavn (SPN) | Fjern denne indstilling fra kontoegenskaber i AD | Når en brugerkonto er konfigureret med et SPN-sæt, betyder det, at kontoen er knyttet til et eller flere SPN'er. Dette sker typisk, når en tjeneste er installeret eller registreret til at køre under en bestemt brugerkonto, og SPN oprettes for entydigt at identificere tjenestearbejdsområdet for Kerberos-godkendelse. Denne anbefaling blev kun vist for følsomme konti. |
Brug flaget UserAccountControl til at manipulere brugerprofiler. Du kan finde flere oplysninger under:
- Windows Server dokumentation til fejlfinding.
- Brugeregenskaber – kontosektion
- Introduktion til forbedringer af Active Directory Administration (niveau 100)
- Active Directory AdministrationScenter
Bemærk!
Selvom vurderinger opdateres i næsten realtid, opdateres scorer og statusser hver 24. time. Selvom listen over påvirkede enheder opdateres inden for få minutter efter, at du har implementeret anbefalingerne, kan status stadig tage tid, indtil den er markeret som Fuldført.