Поделиться через

Оценка безопасности: небезопасные атрибуты учетной записи

  • Статья

Что такое небезопасные атрибуты учетной записи?

Microsoft Defender для удостоверений постоянно отслеживает вашу среду для идентификации учетных записей с значениями атрибутов, которые подвергаются риску безопасности, и сообщает об этих учетных записях для защиты среды.

Какой риск представляет небезопасные атрибуты учетной записи?

Организации, которые не могут защитить свои атрибуты учетной записи, покидают дверь, разблокированную для вредоносных субъектов.

Вредоносные актеры, так же как воры, часто ищут самый простой и спокойный способ в любой среде. Учетные записи, настроенные с небезопасными атрибутами, являются окнами возможностей для злоумышленников и могут предоставлять риски.

Например, если включен атрибут PasswordNotRequired , злоумышленник может легко получить доступ к учетной записи. Это особенно опасно, если у учетной записи есть привилегированный доступ к другим ресурсам.

Разделы справки использовать эту оценку безопасности?

  1. Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какие из учетных записей имеют небезопасные атрибуты.

    Review top impacted entities and create an action plan.

  2. Выполните соответствующие действия для этих учетных записей пользователей, изменив или удалив соответствующие атрибуты.

Серверы

Используйте исправление, соответствующее соответствующему атрибуту, как описано в следующей таблице.

Рекомендуемое действие Серверы Причина
Удаление не требует предварительной проверки подлинности Kerberos Удалите этот параметр из свойств учетной записи в Active Directory (AD) Для удаления этого параметра требуется предварительная проверка подлинности Kerberos для учетной записи, что приводит к улучшению безопасности.
Удаление пароля Хранилища с помощью обратимого шифрования Удаление этого параметра из свойств учетной записи в AD Удаление этого параметра предотвращает простое расшифровку пароля учетной записи.
Удаление пароля не требуется Удаление этого параметра из свойств учетной записи в AD При удалении этого параметра требуется, чтобы пароль использовался с учетной записью и помогает предотвратить несанкционированный доступ к ресурсам.
Удаление пароля, хранящегося с помощью слабого шифрования Сброс пароля учетной записи Изменение пароля учетной записи позволяет использовать более надежные алгоритмы шифрования для его защиты.
Включение поддержки шифрования AES Kerberos Включение функций AES в свойствах учетной записи в AD Включение AES128_CTS_HMAC_SHA1_96 или AES256_CTS_HMAC_SHA1_96 в учетной записи помогает предотвратить использование более слабых шифров шифрования для проверки подлинности Kerberos.
Удаление типов шифрования Kerberos DES для этой учетной записи Удаление этого параметра из свойств учетной записи в AD Удаление этого параметра позволяет использовать более надежные алгоритмы шифрования для пароля учетной записи.
Удаление имени субъекта-службы (SPN) Удаление этого параметра из свойств учетной записи в AD Если учетная запись пользователя настроена с набором имени участника-службы, это означает, что учетная запись была связана с одной или несколькими именами субъектов-служб. Обычно это происходит при установке или регистрации службы для запуска в определенной учетной записи пользователя, а имя субъекта-службы создается для уникальной идентификации рабочей области службы для проверки подлинности Kerberos. Эта рекомендация показана только для конфиденциальных учетных записей.

Используйте флаг UserAccountControl для управления профилями учетных записей пользователей. Дополнительные сведения см. в разделе:

Примечание.

Хотя оценки обновляются почти в режиме реального времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока не будет отмечено как завершено.

Следующие шаги