Delen via

Beveiligingsevaluatie: Onveilige accountkenmerken

  • Artikel

Wat zijn niet-beveiligde accountkenmerken?

Microsoft Defender for Identity controleert uw omgeving continu om accounts te identificeren met kenmerkwaarden die een beveiligingsrisico blootstellen, en rapporteert over deze accounts om u te helpen uw omgeving te beschermen.

Welk risico vormen niet-beveiligde accountkenmerken?

Organisaties die hun accountkenmerken niet kunnen beveiligen, laten de deur ontgrendeld voor kwaadwillende actoren.

Kwaadwillende actoren, net als dieven, zoeken vaak naar de eenvoudigste en stilste manier in elke omgeving. Accounts die zijn geconfigureerd met onbeveiligde kenmerken, zijn kansen voor aanvallers en kunnen risico's blootstellen.

Als het kenmerk PasswordNotRequired bijvoorbeeld is ingeschakeld, heeft een aanvaller eenvoudig toegang tot het account. Dit is met name riskant als het account bevoegde toegang heeft tot andere resources.

Hoe kan ik deze beveiligingsevaluatie gebruiken?

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions om te ontdekken welke van uw accounts niet-beveiligde kenmerken hebben.

    Bekijk de meest beïnvloede entiteiten en maak een actieplan.

  2. Voer de juiste actie uit voor deze gebruikersaccounts door de relevante kenmerken te wijzigen of te verwijderen.

Herstellen

Gebruik het herstel dat geschikt is voor het relevante kenmerk, zoals beschreven in de volgende tabel.

Aanbevolen actie Herstellen Reden
Verwijderen Geen kerberos-verificatie vereisen Deze instelling verwijderen uit accounteigenschappen in Active Directory (AD) Voor het verwijderen van deze instelling is kerberos-verificatie vooraf vereist voor het account, wat resulteert in verbeterde beveiliging.
Store-wachtwoord verwijderen met omkeerbare versleuteling Deze instelling verwijderen uit accounteigenschappen in AD Als u deze instelling verwijdert, voorkomt u dat het wachtwoord van het account eenvoudig kan worden ontsleuteld.
Wachtwoord verwijderen niet vereist Deze instelling verwijderen uit accounteigenschappen in AD Als u deze instelling verwijdert, moet een wachtwoord worden gebruikt met het account en wordt voorkomen dat onbevoegde toegang tot resources wordt gebruikt.
Wachtwoord verwijderen dat is opgeslagen met zwakke versleuteling Het accountwachtwoord opnieuw instellen Als u het wachtwoord van het account wijzigt, kunnen sterkere versleutelingsalgoritmen worden gebruikt voor de beveiliging ervan.
Kerberos AES-versleutelingsondersteuning inschakelen AES-functies inschakelen voor de accounteigenschappen in AD Het inschakelen van AES128_CTS_HMAC_SHA1_96 of AES256_CTS_HMAC_SHA1_96 voor het account helpt het gebruik van zwakkere versleutelingssleutels voor Kerberos-verificatie te voorkomen.
Kerberos DES-versleutelingstypen voor dit account gebruiken verwijderen Deze instelling verwijderen uit accounteigenschappen in AD Als u deze instelling verwijdert, kunt u sterkere versleutelingsalgoritmen gebruiken voor het wachtwoord van het account.
Een Service Principal Name (SPN) verwijderen Deze instelling verwijderen uit accounteigenschappen in AD Wanneer een gebruikersaccount is geconfigureerd met een SPN-set, betekent dit dat het account is gekoppeld aan een of meer SPN's. Dit gebeurt meestal wanneer een service is geïnstalleerd of geregistreerd om te worden uitgevoerd onder een specifiek gebruikersaccount en de SPN wordt gemaakt om de servicewerkruimte voor Kerberos-verificatie uniek te identificeren. Deze aanbeveling wordt alleen weergegeven voor gevoelige accounts.

Gebruik de vlag UserAccountControl om gebruikersaccountprofielen te bewerken. Zie voor meer informatie:

Opmerking

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen enkele minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren totdat deze is gemarkeerd als Voltooid.

Volgende stappen