Sicherheitsbewertung: Stellen Sie sicher, dass alle privilegierten Konten das Konfigurationskennzeichen „Dieses Konto ist sensibel und kann nicht delegiert werden“ haben.
Diese Empfehlung listet alle privilegierten Konten auf, die nicht das Kennzeichen „Konto ist sensibel und kann nicht delegiert werden“ haben. Privilegierte Konten sind Konten, die Mitglieder einer privilegierten Gruppe wie „Domänenadministratoren”, „Schemaadministratoren”, „Schreibgeschützte Domänencontroller” usw. sind.
Organisationsrisiko
Wenn das Kennzeichen „sensibel“ deaktiviert ist, könnten Angreifende die Kerberos-Delegation ausnutzen, um Anmeldeinformationen für privilegierte Konten zu missbrauchen, was zu unbefugtem Zugriff, seitlichen Bewegungen und potenziellen netzwerkweiten Sicherheitsverletzungen führen kann. Das Setzen des Kennzeichens sensibel für privilegierte Konten verhindert, dass Benutzer Zugriff auf das Konto erhalten und die Systemeinstellungen manipulieren.
Schritte zur Bereinigung
Überprüfen Sie die Liste der exponierten Entitäten, um herauszufinden, welche Ihrer privilegierten Konten nicht das Konfigurationskennzeichen "Dieses Konto ist sensibel und kann nicht delegiert werden" haben.
Ergreifen Sie geeignete Maßnahmen für diese Konten, indem Sie die Kontrollkennzeichen des Kontos auf „Dieses Konto ist sensibel und kann nicht delegiert werden“ setzen. Aktivieren Sie auf der Registerkarte „Konto“ im Abschnitt „Konto-Optionen“ das Kontrollkästchen für dieses Kennzeichen verwenden. Dadurch wird verhindert, dass Benutzende Zugriff auf das Konto erhalten und die Systemeinstellungen manipulieren.
