Valutazione della sicurezza: attributi di account non sicuri
Che cosa sono gli attributi dell'account non sicuro?
Microsoft Defender per identità monitora continuamente l'ambiente per identificare gli account con valori di attributo che espongono un rischio per la sicurezza e segnala questi account per facilitare la protezione dell'ambiente.
Quale rischio pongono gli attributi di account non sicuri?
Le organizzazioni che non riescono a proteggere gli attributi dell'account lasciano la porta aperta per gli attori malintenzionati.
Gli attori malintenzionati, proprio come i ladri, cercano spesso il modo più semplice e silenzioso in qualsiasi ambiente. Gli account configurati con attributi non sicuri sono finestre di opportunità per gli utenti malintenzionati e possono esporre rischi.
Ad esempio, se l'attributo PasswordNotRequired è abilitato, un utente malintenzionato può accedere facilmente all'account. Ciò è particolarmente rischioso se l'account ha accesso con privilegi ad altre risorse.
Ricerca per categorie usare questa valutazione della sicurezza?
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per individuare quali account hanno attributi non sicuri.
Eseguire l'azione appropriata su tali account utente modificando o rimuovendo gli attributi pertinenti.
Bonifica
Usare la correzione appropriata per l'attributo pertinente, come descritto nella tabella seguente.
| Azione consigliata | Bonifica | Motivo |
|---|---|---|
| Rimuovi Non richiedere la preautenticazione Kerberos | Rimuovere questa impostazione dalle proprietà dell'account in Active Directory (AD) | La rimozione di questa impostazione richiede una pre-autenticazione Kerberos per l'account, con conseguente miglioramento della sicurezza. |
| Rimuovere la password dello Store usando la crittografia reversibile | Rimuovere questa impostazione dalle proprietà dell'account in Active Directory | La rimozione di questa impostazione impedisce una facile decrittografia della password dell'account. |
| Rimuovi password non necessaria | Rimuovere questa impostazione dalle proprietà dell'account in Active Directory | La rimozione di questa impostazione richiede l'uso di una password con l'account e consente di impedire l'accesso non autorizzato alle risorse. |
| Rimuovere la password archiviata con crittografia debole | Reimpostare la password dell'account | La modifica della password dell'account consente di usare algoritmi di crittografia più avanzati per la protezione. |
| Abilitare il supporto della crittografia AES Kerberos | Abilitare le funzionalità AES nelle proprietà dell'account in AD | L'abilitazione di AES128_CTS_HMAC_SHA1_96 o AES256_CTS_HMAC_SHA1_96 nell'account consente di evitare l'uso di crittografie di crittografia più deboli per l'autenticazione Kerberos. |
| Rimuovere Usare i tipi di crittografia DES Kerberos per questo account | Rimuovere questa impostazione dalle proprietà dell'account in Active Directory | La rimozione di questa impostazione consente l'uso di algoritmi di crittografia più avanzati per la password dell'account. |
| Rimuovere un nome dell'entità servizio (SPN) | Rimuovere questa impostazione dalle proprietà dell'account in Active Directory | Quando un account utente è configurato con un set spn, significa che l'account è stato associato a uno o più nomi SPN. Ciò si verifica in genere quando un servizio viene installato o registrato per l'esecuzione con un account utente specifico e il nome SPN viene creato per identificare in modo univoco l'area di lavoro del servizio per l'autenticazione Kerberos. Questa raccomandazione è stata mostrata solo per gli account sensibili. |
Usare il flag UserAccountControl per modificare i profili dell'account utente. Per altre informazioni, vedere:
- Windows Server documentazione sulla risoluzione dei problemi.
- Proprietà utente - Sezione Account
- Introduzione per i miglioramenti del Centro di amministrazione di Active Directory (livello 100)
- Interfaccia di amministrazione di Active Directory
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Anche se l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.