Suojauksen arviointi: Suojaamattomat tilimääritteet
Mitä ovat suojaamattomat tilin määritteet?
Microsoft Defender for Identity valvoo jatkuvasti ympäristöäsi tunnistaakseen tilit, joiden määritearvot paljastavat suojausriskin, ja raportoi näillä tileillä, mikä auttaa sinua suojaamaan ympäristöäsi.
Mitä riskejä suojaamattomat tilin määritteet aiheuttavat?
Organisaatiot, jotka eivät pysty turvaamaan tilimääritteitään, jättävät oven lukitsematta haitallisille toimijoille.
Pahantahtoiset näyttelijät, aivan kuten varkaat, etsivät usein helpointa ja hiljaisinta tietä mihin tahansa ympäristöön. Tilit, jotka on määritetty suojaamattomille määritteille, ovat hyökkääjien mahdollisuuksien ikkunoita, ja ne voivat paljastaa riskejä.
Jos esimerkiksi PasswordNotRequired-määrite on käytössä, hyökkääjä voi käyttää tiliä helposti. Tämä on erityisen riskialtista, jos tilillä on erityisoikeudet muihin resursseihin.
Ohjevalikko käyttää tätä suojausarviointia?
Tutustu suositeltuun toimintoon osoitteessa https://security.microsoft.com/securescore?viewid=actions selvittääksesi, millä tileilläsi on suojaamattomia määritteitä.
Suorita asianmukaiset toimet kyseisille käyttäjätileille muokkaamalla tai poistamalla asianmukaisia määritteitä.
Parannus
Käytä asianmukaisen määritteen mukaista korjausta seuraavassa taulukossa kuvatulla tavalla.
| Suositeltu toiminto | Parannus | Syy |
|---|---|---|
| Poista Älä edellytä Kerberos-esitodennusta | Poista tämä asetus Active Directoryn (AD) tilin ominaisuuksista | Tämän asetuksen poistaminen edellyttää Tilin Kerberos-esitodennusta, mikä parantaa suojausta. |
| Poista Säilön salasana kumottavan salauksen avulla | Poista tämä asetus tilin ominaisuuksista AD:ssä | Tämän asetuksen poistaminen estää tilin salasanan salauksen helpon purkamisen. |
| Poista salasana ei ole pakollinen | Poista tämä asetus tilin ominaisuuksista AD:ssä | Tämän asetuksen poistaminen edellyttää salasanaa, jota käytetään tilin kanssa, ja auttaa estämään resurssien luvattoman käytön. |
| Poista heikolla salauksella tallennettu salasana | Tilin salasanan vaihtaminen | Tilin salasanan vaihtaminen mahdollistaa entistä vahvemmat salausalgoritmit sen suojaamiseksi. |
| Kerberos AES -salaustuen ottaminen käyttöön | AES-ominaisuuksien ottaminen käyttöön tilin ominaisuuksissa AD:ssä | AES128_CTS_HMAC_SHA1_96 tai AES256_CTS_HMAC_SHA1_96 ottaminen käyttöön tilillä auttaa estämään heikompien salaussalauskoodien käytön Kerberos-todennuksessa. |
| Poista Käytä Kerberos DES -salaustyyppejä tälle tilille | Poista tämä asetus tilin ominaisuuksista AD:ssä | Tämän asetuksen poistaminen ottaa käyttöön vahvempia salausalgoritmeja tilin salasanassa. |
| Palvelun päänimen (SPN) poistaminen | Poista tämä asetus tilin ominaisuuksista AD:ssä | Kun käyttäjätilille on määritetty palvelun päänimijoukko, se tarkoittaa, että tili on liitetty yhteen tai useampaan palvelun päänimeen. Näin tapahtuu yleensä, kun palvelu asennetaan tai rekisteröidään suoritettavaksi tietyllä käyttäjätilillä ja palvelun päänimi luodaan yksilöimään Kerberos-todennuksen palvelutyötila. Tämä suositus osoitti vain luottamuksellisille tileille. |
Käsittele käyttäjätiliprofiileja UserAccountControl-merkinnän avulla. Lisätietoja on seuraavissa artikkeleissa:
- Windows Server vianmääritysohjeita.
- Käyttäjän ominaisuudet - Tili-osa
- Johdanto Active Directory -hallintakeskuksen parannuksiin (taso 100)
- Active Directory -hallintakeskus
Huomautus
Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.