Évaluation de la sécurité : attributs de compte non sécurisés
Qu’est-ce que les attributs de compte non sécurisés ?
Microsoft Defender pour Identity surveille en permanence votre environnement pour identifier les comptes avec des valeurs d’attribut qui exposent un risque de sécurité et signale ces comptes pour vous aider à protéger votre environnement.
Quels sont les risques que présentent les attributs de compte non sécurisés ?
Les organisations qui ne parviennent pas à sécuriser leurs attributs de compte laissent la porte déverrouillée pour les acteurs malveillants.
Les acteurs malveillants, comme les voleurs, recherchent souvent le moyen le plus simple et le plus calme dans n’importe quel environnement. Les comptes configurés avec des attributs non sécurisés sont des fenêtres d’opportunité pour les attaquants et peuvent exposer des risques.
Par exemple, si l’attribut PasswordNotRequired est activé, un attaquant peut facilement accéder au compte. Cela est particulièrement risqué si le compte a un accès privilégié à d’autres ressources.
Comment faire utiliser cette évaluation de sécurité ?
Passez en revue l’action recommandée pour https://security.microsoft.com/securescore?viewid=actions découvrir les attributs non sécurisés de vos comptes.
Effectuez une action appropriée sur ces comptes d’utilisateur en modifiant ou en supprimant les attributs appropriés.
Correction
Utilisez la correction appropriée pour l’attribut approprié, comme décrit dans le tableau suivant.
| Action recommandée | Correction | Motif |
|---|---|---|
| Supprimer ne nécessite pas de pré-authentification Kerberos | Supprimer ce paramètre des propriétés de compte dans Active Directory (AD) | La suppression de ce paramètre nécessite une pré-authentification Kerberos pour le compte, ce qui améliore la sécurité. |
| Supprimer le mot de passe du Store à l’aide du chiffrement réversible | Supprimer ce paramètre des propriétés de compte dans AD | La suppression de ce paramètre empêche le déchiffrement facile du mot de passe du compte. |
| Supprimer le mot de passe non obligatoire | Supprimer ce paramètre des propriétés de compte dans AD | La suppression de ce paramètre nécessite l’utilisation d’un mot de passe avec le compte et empêche l’accès non autorisé aux ressources. |
| Supprimer le mot de passe stocké avec un chiffrement faible | Réinitialiser le mot de passe du compte | La modification du mot de passe du compte permet d’utiliser des algorithmes de chiffrement plus forts pour sa protection. |
| Activer la prise en charge du chiffrement AES Kerberos | Activer les fonctionnalités AES sur les propriétés du compte dans AD | L’activation de AES128_CTS_HMAC_SHA1_96 ou de AES256_CTS_HMAC_SHA1_96 sur le compte permet d’empêcher l’utilisation de chiffrements plus faibles pour l’authentification Kerberos. |
| Supprimer l’utilisation des types de chiffrement DES Kerberos pour ce compte | Supprimer ce paramètre des propriétés de compte dans AD | La suppression de ce paramètre permet d’utiliser des algorithmes de chiffrement plus forts pour le mot de passe du compte. |
| Supprimer un nom de principal de service (SPN) | Supprimer ce paramètre des propriétés de compte dans AD | Lorsqu’un compte d’utilisateur est configuré avec un spN défini, cela signifie que le compte a été associé à un ou plusieurs SPN. Cela se produit généralement lorsqu’un service est installé ou inscrit pour s’exécuter sous un compte d’utilisateur spécifique, et que le SPN est créé pour identifier de manière unique l’espace de travail de service pour l’authentification Kerberos. Cette recommandation n’a montré que pour les comptes sensibles. |
Utilisez l’indicateur UserAccountControl pour manipuler des profils de compte d’utilisateur. Pour plus d’informations, consultez l’article suivant :
- Documentation sur la résolution des problèmes liés à Windows Server
- Propriétés de l’utilisateur - Section Compte
- Introduction to Active Directory Administrative Center Enhancements (Level 100)
- Centre d’Administration istration Active Directory
Remarque
Bien que les évaluations soient mises à jour en quasi temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités affectées soit mise à jour dans les quelques minutes suivant l’implémentation des recommandations, l’état peut prendre du temps jusqu’à ce qu’il soit marqué comme terminé.