Jaa

Suojauksen arviointi: Varmista, että etuoikeutettuja tilejä ei delegoida

  • Artikkeli

Tässä suosituksessa luetellaan kaikki etuoikeutetut tilit, joilla ei ole delegoitua asetusta käytössä, ja korostetaan ne tilit, jotka saattavat altistua delegointiin liittyville riskeille. Etuoikeutetut tilit ovat tilejä, jotka kuuluvat etuoikeutettuun ryhmään, kuten toimialueen järjestelmänvalvojat, rakenteen järjestelmänvalvojat ja niin edelleen. 

Organisaation riski

Jos arkaluontoinen lippu on poistettu käytöstä, hyökkääjät voivat hyödyntää Kerberos-delegointia väärinkäytettyihin etuoikeutettuihin tilin tunnistetietoihin, mikä johtaa luvattomaan käyttöön, sivuttaisiin siirtoihin ja mahdollisiin verkonlaajuisiin suojausrikkomuksiin. Luottamuksellisen merkinnän määrittäminen etuoikeutetuille käyttäjätileille estää käyttäjiä käyttämästä tiliä ja muokkaamasta järjestelmäasetuksia.
Laitetileille niiden määrittäminen ei delegoiduksi on tärkeää, jotta sitä ei käytetä delegointiskenaariossa. Näin varmistetaan, että tämän tietokoneen tunnistetietoja ei voi välittää muihin palveluihin.

Korjausvaiheet

  1. Tarkastele näytettyjen entiteettien luetteloa selvittääksesi, millä etuoikeutetuilla tileilläsi ei ole määritysmerkintää "tämä tili on arkaluonteinen eikä sitä voi delegoida".

  2. Suorita asianmukaiset toimet näille tileille:

  • Käyttäjätilit: asettamalla tilin valvontamerkinnät kohtaan "tämä tili on arkaluonteinen, eikä sitä voi delegoida". Valitse Tili-välilehdessä tämän merkinnän valintaruutu Tiliasetukset-osassa. Tämä estää käyttäjiä käyttämästä tiliä ja muokkaamasta järjestelmäasetuksia.  
    Näyttökuva käyttäjäprofiilista.

  • Laitetilit:
    Turvallisinta on käyttää PowerShell-komentosarjaa laitteen määrittämiseen, jotta sitä ei käytetä delegointiskenaariossa. Näin varmistetaan, että tämän tietokoneen tunnistetietoja ei voi välittää muihin palveluihin.

    $name = "ComputerA" 
Get-ADComputer -Identity $name |
Set-ADAccountControl -AccountNotDelegated:$true

    Toinen vaihtoehto on määrittää määritteen UserAccountControl arvoksi NOT_DELEGATED = 0x100000 paljastetun laitteen Määrite Kirjoitusavustaja -välilehdessä.

    Esimerkki:

    Näyttökuva laitteen profiilista.

Seuraavat vaiheet

Lue lisätietoja Microsoftin suojauspisteistä