Avaliação de segurança: Atributos de conta não seguras
O que são atributos de conta não seguras?
Microsoft Defender para Identidade monitoriza continuamente o seu ambiente para identificar contas com valores de atributo que expõem um risco de segurança e relatórios sobre estas contas para o ajudar a proteger o seu ambiente.
Que risco representam os atributos da conta não seguras?
As organizações que não conseguem proteger os seus atributos de conta deixam a porta desbloqueada para atores maliciosos.
Os atores maliciosos, tal como os ladrões, procuram frequentemente a forma mais fácil e silenciosa de entrar em qualquer ambiente. As contas configuradas com atributos não inseguros são janelas de oportunidade para os atacantes e podem expor riscos.
Por exemplo, se o atributo PasswordNotRequired estiver ativado, um atacante pode aceder facilmente à conta. Isto é especialmente arriscado se a conta tiver acesso privilegiado a outros recursos.
Como devo proceder para utilizar esta avaliação de segurança?
Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais das suas contas têm atributos inseguros.
Tome as medidas adequadas nessas contas de utilizador ao modificar ou remover os atributos relevantes.
Remediação
Utilize a remediação adequada ao atributo relevante, conforme descrito na tabela seguinte.
| Ação recomendada | Remediação | Motivo |
|---|---|---|
| Remover Não exigir pré-autenticação kerberos | Remover esta definição das propriedades da conta no Active Directory (AD) | A remoção desta definição requer uma pré-autenticação Kerberos para a conta, o que resulta numa segurança melhorada. |
| Remover a palavra-passe do Store com encriptação reversível | Remover esta definição das propriedades da conta no AD | Remover esta definição impede uma desencriptação fácil da palavra-passe da conta. |
| Remover Palavra-passe não necessária | Remover esta definição das propriedades da conta no AD | A remoção desta definição requer a utilização de uma palavra-passe com a conta e ajuda a impedir o acesso não autorizado aos recursos. |
| Remover Palavra-passe armazenada com encriptação fraca | Repor a palavra-passe da conta | A alteração da palavra-passe da conta permite a utilização de algoritmos de encriptação mais fortes para a respetiva proteção. |
| Ativar o suporte de encriptação kerberos AES | Ativar as funcionalidades do AES nas propriedades da conta no AD | Ativar AES128_CTS_HMAC_SHA1_96 ou AES256_CTS_HMAC_SHA1_96 na conta ajuda a impedir a utilização de cifras de encriptação mais fracas para a autenticação Kerberos. |
| Remover utilizar tipos de encriptação DES Kerberos para esta conta | Remover esta definição das propriedades da conta no AD | A remoção desta definição permite a utilização de algoritmos de encriptação mais fortes para a palavra-passe da conta. |
| Remover um Nome principal de serviço (SPN) | Remover esta definição das propriedades da conta no AD | Quando uma conta de utilizador é configurada com um conjunto de SPN, significa que a conta foi associada a um ou mais SPNs. Normalmente, isto ocorre quando um serviço é instalado ou registado para ser executado numa conta de utilizador específica e o SPN é criado para identificar exclusivamente a área de trabalho do serviço para autenticação Kerberos. Esta recomendação só foi apresentada para contas confidenciais. |
Utilize o sinalizador UserAccountControl para manipular perfis de conta de utilizador. Para mais informações, consulte:
- Windows Server documentação de resolução de problemas.
- Propriedades do Utilizador - Secção conta
- Introdução aos Melhoramentos do Centro de Administração do Active Directory (Nível 100)
- Centro de Administração do Active Directory
Nota
Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, o estado ainda pode demorar algum tempo até estar marcado como Concluído.