Dela via

Säkerhetsutvärdering: Se till att privilegierade konton inte delegeras

  • Artikel

Den här rekommendationen visar en lista över alla privilegierade konton som inte har inställningen "inte delegerad" aktiverad, vilket markerar de som potentiellt exponeras för delegeringsrelaterade risker. Privilegierade konton är konton som är medlemmar i en privilegierad grupp, till exempel domänadministratörer, schemaadministratörer och så vidare. 

Organisationsrisk

Om den känsliga flaggan är inaktiverad kan angripare utnyttja Kerberos-delegering för att missbruka privilegierade kontoautentiseringsuppgifter, vilket leder till obehörig åtkomst, lateral förflyttning och potentiella nätverksomfattande säkerhetsöverträdelser. Om du anger den känsliga flaggan för privilegierade användarkonton hindras användare från att få åtkomst till kontot och ändra systeminställningarna.
För enhetskonton är det viktigt att ställa in dem på "inte delegerad" för att förhindra att de används i delegeringsscenarion, vilket säkerställer att autentiseringsuppgifterna på den här datorn inte kan vidarebefordras för åtkomst till andra tjänster.

Reparationssteg

  1. Granska listan över exponerade entiteter för att se vilka av dina privilegierade konton som inte har konfigurationsflaggan "det här kontot är känsligt och kan inte delegeras".

  2. Vidta lämpliga åtgärder för dessa konton:

  • För användarkonton: genom att ange kontots kontrollflaggor till "det här kontot är känsligt och kan inte delegeras". Under fliken Konto markerar du kryssrutan för den här flaggan i avsnittet Kontoalternativ. Detta hindrar användare från att få åtkomst till kontot och manipulera systeminställningar.  
    Skärmbild av användarprofil.

  • För enhetskonton:
    Den säkraste metoden är att använda ett PowerShell-skript för att konfigurera enheten för att förhindra att den används i delegeringsscenarion, vilket säkerställer att autentiseringsuppgifterna på den här datorn inte kan vidarebefordras för åtkomst till andra tjänster.

    $name = "ComputerA" 
Get-ADComputer -Identity $name |
Set-ADAccountControl -AccountNotDelegated:$true

    Ett annat alternativ är att ange UserAccountControl attributet till NOT_DELEGATED = 0x100000 under fliken Attribut Editor för den exponerade enheten.

    Till exempel:

    Skärmbild av enhetsprofil.

Nästa steg

Läs mer om Microsoft Secure Score