Поделиться через

Оценка безопасности: небезопасные атрибуты учетной записи

  • Статья

Что такое небезопасные атрибуты учетной записи?

Microsoft Defender для удостоверений постоянно отслеживает среду, чтобы определить учетные записи со значениями атрибутов, которые подвергаются риску безопасности, и отчеты об этих учетных записях, чтобы помочь вам защитить среду.

Какой риск представляют небезопасные атрибуты учетной записи?

Организации, которые не могут защитить свои атрибуты учетной записи, оставляют дверь разблокирована для злоумышленников.

Злонамеренные актеры, как и воры, часто ищут самый простой и тихий путь в любую среду. Учетные записи, настроенные с небезопасными атрибутами, являются окнами возможностей для злоумышленников и могут подвергать риску.

Например, если включен атрибут PasswordNotRequired , злоумышленник может легко получить доступ к учетной записи. Это особенно опасно, если учетная запись имеет привилегированный доступ к другим ресурсам.

Разделы справки использовать эту оценку безопасности?

  1. Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какие из ваших учетных записей имеют небезопасные атрибуты.

    Просмотрите наиболее затронутые сущности и создайте план действий.

  2. Выполните соответствующие действия с этими учетными записями пользователей, изменив или удалив соответствующие атрибуты.

Исправление

Используйте исправление, соответствующее соответствующему атрибуту, как описано в следующей таблице.

Рекомендуемое действие Исправление Reason
Удалить Не требуется предварительная проверку подлинности Kerberos Удалите этот параметр из свойств учетной записи в Active Directory (AD) Для удаления этого параметра требуется предварительная проверка подлинности Kerberos для учетной записи, что повышает безопасность.
Удаление пароля хранилища с помощью обратимого шифрования Удаление этого параметра из свойств учетной записи в AD Удаление этого параметра предотвращает простую расшифровку пароля учетной записи.
Удаление пароля не требуется Удаление этого параметра из свойств учетной записи в AD Для удаления этого параметра необходимо использовать пароль с учетной записью и предотвратить несанкционированный доступ к ресурсам.
Удаление пароля, хранящегося со слабым шифрованием Сброс пароля учетной записи Изменение пароля учетной записи позволяет использовать более надежные алгоритмы шифрования для ее защиты.
Включение поддержки шифрования AES Kerberos Включение функций AES в свойствах учетной записи в AD Включение AES128_CTS_HMAC_SHA1_96 или AES256_CTS_HMAC_SHA1_96 в учетной записи помогает предотвратить использование более слабых шифров шифрования для проверки подлинности Kerberos.
Удаление типов шифрования Kerberos DES для этой учетной записи Удаление этого параметра из свойств учетной записи в AD Удаление этого параметра позволяет использовать более надежные алгоритмы шифрования для пароля учетной записи.
Удаление имени субъекта-службы Удаление этого параметра из свойств учетной записи в AD Если учетная запись пользователя настроена с помощью набора имени субъекта-службы, это означает, что учетная запись была связана с одним или несколькими именами субъектов-служб. Обычно это происходит, когда служба устанавливается или регистрируется для запуска под определенной учетной записью пользователя, а имя субъекта-службы создается для уникальной идентификации рабочей области службы для проверки подлинности Kerberos. Эта рекомендация показана только для конфиденциальных учетных записей.

Используйте флаг UserAccountControl для управления профилями учетных записей пользователей. Дополнительные сведения см. в разделе:

Примечание.

Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.

Дальнейшие действия