Evaluación de seguridad: atributos de cuenta no seguros
¿Qué son los atributos de cuenta no seguros?
Microsoft Defender for Identity supervisa continuamente el entorno para identificar cuentas con valores de atributo que exponen un riesgo de seguridad e informes sobre estas cuentas para ayudarle a proteger el entorno.
¿Qué riesgo suponen los atributos de cuenta no seguros?
Las organizaciones que no protegen sus atributos de cuenta dejan la puerta abierta para actores malintencionados.
Los actores malintencionados, al igual que los ladrones, suelen buscar la manera más sencilla y tranquila de entrar en cualquier entorno. Las cuentas configuradas con atributos no seguros son ventanas de oportunidad para los atacantes y pueden exponer riesgos.
Por ejemplo, si el atributo PasswordNotRequired está habilitado, un atacante puede acceder fácilmente a la cuenta. Esto es especialmente arriesgado si la cuenta tiene acceso con privilegios a otros recursos.
Cómo usar esta evaluación de seguridad?
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar qué cuentas tienen atributos no seguros.
Realice las acciones adecuadas en esas cuentas de usuario modificando o quitando los atributos pertinentes.
Remediación
Use la corrección adecuada para el atributo pertinente, tal como se describe en la tabla siguiente.
| Acción recomendada | Remediación | Reason |
|---|---|---|
| Quitar No requerir autenticación previa de Kerberos | Quitar esta configuración de las propiedades de la cuenta en Active Directory (AD) | La eliminación de esta configuración requiere una autenticación previa de Kerberos para la cuenta que da como resultado una seguridad mejorada. |
| Eliminación de la contraseña de almacenamiento mediante el cifrado reversible | Quitar esta configuración de las propiedades de la cuenta en AD | La eliminación de esta configuración impide el descifrado sencillo de la contraseña de la cuenta. |
| No se requiere quitar la contraseña | Quitar esta configuración de las propiedades de la cuenta en AD | La eliminación de esta configuración requiere que se use una contraseña con la cuenta y ayuda a evitar el acceso no autorizado a los recursos. |
| Quitar contraseña almacenada con cifrado débil | Restablecimiento de la contraseña de la cuenta | Cambiar la contraseña de la cuenta permite usar algoritmos de cifrado más seguros para su protección. |
| Habilitación de la compatibilidad con el cifrado AES de Kerberos | Habilitación de características de AES en las propiedades de la cuenta en AD | Habilitar AES128_CTS_HMAC_SHA1_96 o AES256_CTS_HMAC_SHA1_96 en la cuenta ayuda a evitar el uso de cifrados más débiles para la autenticación Kerberos. |
| Eliminación del uso de tipos de cifrado DES de Kerberos para esta cuenta | Quitar esta configuración de las propiedades de la cuenta en AD | La eliminación de esta configuración permite el uso de algoritmos de cifrado más seguros para la contraseña de la cuenta. |
| Quitar un nombre de entidad de seguridad de servicio (SPN) | Quitar esta configuración de las propiedades de la cuenta en AD | Cuando se configura una cuenta de usuario con un conjunto de SPN, significa que la cuenta se ha asociado a uno o más SPN. Esto suele ocurrir cuando un servicio está instalado o registrado para ejecutarse en una cuenta de usuario específica y el SPN se crea para identificar de forma única el área de trabajo del servicio para la autenticación Kerberos. Esta recomendación solo se mostró para cuentas confidenciales. |
Use la marca UserAccountControl para manipular perfiles de cuenta de usuario. Para más información, vea:
- Windows Server documentación de solución de problemas.
- Propiedades de usuario: sección cuenta
- Introducción a mejoras del Centro de administración de Active Directory (nivel 100)
- Centro de administración de Active Directory
Nota:
Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza a los pocos minutos de la implementación de las recomendaciones, el estado todavía puede tardar tiempo hasta que se marca como Completado.