安全性評估:不安全的帳戶屬性
什麼是不安全的帳戶屬性?
適用於身分識別的 Microsoft Defender 持續監視您的環境,以識別具有公開安全性風險之屬性值的帳戶,以及這些帳戶的報告,以協助您保護您的環境。
不安全的帳戶屬性會造成什麼風險?
無法保護其帳戶屬性的組織會讓惡意執行者的門解除鎖定。
惡意執行者很像垃圾,通常會在任何環境中尋找最簡單且最無訊息的方式。 使用不安全屬性設定的帳戶是攻擊者的機會視窗,而且可能會暴露風險。
例如,如果已啟用 PasswordNotRequired 屬性,攻擊者就可以輕鬆地存取帳戶。 如果帳戶具有其他資源的特殊許可權存取權,這會特別有風險。
如何? 使用此安全性評估嗎?
檢閱 中的建議動作 https://security.microsoft.com/securescore?viewid=actions ,以探索哪些帳戶具有不安全的屬性。
藉由修改或移除相關的屬性,對這些使用者帳戶採取適當的動作。
補救
使用適用於相關屬性的補救,如下表所述。
| 建議的動作 | 補救 | 原因 |
|---|---|---|
| 拿掉 不需要 Kerberos 預先驗證 | 從 Active Directory (AD) 中的帳戶屬性移除此設定 | 拿掉此設定需要帳戶的 Kerberos 預先驗證,以改善安全性。 |
| 使用可還原的加密移除市集密碼 | 從 AD 中的帳戶屬性移除此設定 | 拿掉此設定可防止輕鬆解密帳戶的密碼。 |
| 拿掉不需要的密碼 | 從 AD 中的帳戶屬性移除此設定 | 拿掉此設定需要搭配帳戶使用密碼,並協助防止未經授權的資源存取。 |
| 拿掉以弱式加密儲存的密碼 | 重設帳戶密碼 | 變更帳戶的密碼可讓更強大的加密演算法用於其保護。 |
| 啟用 Kerberos AES 加密支援 | 在 AD 中的帳戶屬性上啟用 AES 功能 | 在帳戶上啟用AES128_CTS_HMAC_SHA1_96或AES256_CTS_HMAC_SHA1_96有助於防止使用較弱的加密加密進行 Kerberos 驗證。 |
| 拿掉針對此帳戶使用 Kerberos DES 加密類型 | 從 AD 中的帳戶屬性移除此設定 | 拿掉此設定可讓您針對帳戶的密碼使用更強的加密演算法。 |
| 拿掉 SPN) (服務主體名稱 | 從 AD 中的帳戶屬性移除此設定 | 使用SPN集合設定使用者帳戶時,表示帳戶已與一或多個SPN相關聯。 這通常會在服務安裝或註冊為在特定用戶帳戶下執行時發生,而建立SPN以唯一識別 Kerberos 驗證的服務工作區時。 這項建議僅針對敏感性帳戶顯示。 |
使用 UserAccountControl 旗 標來操作用戶帳戶配置檔。 如需詳細資訊,請參閱:
注意事項
當評量以近乎即時的方式更新時,每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間,直到標示為已 完成為止。