Partilhar via

Avaliação de segurança: garanta que contas privilegiadas não sejam delegadas

  • Artigo

Esta recomendação lista todas as contas privilegiadas que não têm a configuração "não delegada" habilitada, destacando aquelas potencialmente expostas a riscos relacionados à delegação. Contas privilegiadas são contas que estão sendo membros de um grupo privilegiado, como administradores de domínio, administradores de esquema e assim por diante. 

Risco da organização

Se o sinalizador confidencial estiver desativado, os invasores poderão explorar a delegação Kerberos para usar indevidamente credenciais de contas privilegiadas, levando a acesso não autorizado, movimento lateral e possíveis violações de segurança em toda a rede. Definir o sinalizador confidencial em contas de usuário privilegiadas impede que os usuários obtenham acesso à conta e manipulem as configurações do sistema.
Para contas de dispositivo, defini-las como "não delegadas" é importante para evitar que elas sejam usadas em qualquer cenário de delegação, garantindo que as credenciais nesta máquina não possam ser encaminhadas para acessar outros serviços.

Passos de remediação

  1. Analise a lista de entidades expostas para descobrir quais de suas contas privilegiadas não têm o sinalizador de configuração "esta conta é confidencial e não pode ser delegada".

  2. Tome as medidas adequadas relativamente a essas contas:

  • Para contas de usuário: definindo os sinalizadores de controle da conta como "esta conta é confidencial e não pode ser delegada". Na guia Conta, marque a caixa de seleção para esse sinalizador na seção Opções de Conta. Isso impede que os usuários tenham acesso à conta e manipulem as configurações do sistema.  
    Captura de ecrã do perfil de utilizador.

  • Para contas de dispositivos:
    A abordagem mais segura é usar um script do PowerShell para configurar o dispositivo para impedir que ele seja usado em qualquer cenário de delegação, garantindo que as credenciais nessa máquina não possam ser encaminhadas para acessar outros serviços.

    $name = "ComputerA" 
Get-ADComputer -Identity $name |
Set-ADAccountControl -AccountNotDelegated:$true

    Outra opção é definir o UserAccountControl atributo como NOT_DELEGATED = 0x100000 na guia Editor de atributos para o dispositivo exposto.

    Por exemplo:

    Captura de ecrã do perfil do dispositivo.

Próximos passos

Saiba mais sobre o Microsoft Secure Score