安全评估:不安全的帐户属性
什么是不安全的帐户属性?
Microsoft Defender for Identity持续监视环境,以识别具有暴露安全风险的属性值的帐户,并报告这些帐户以帮助你保护环境。
不安全的帐户属性会带来什么风险?
无法保护其帐户属性的组织会为恶意参与者解锁大门。
恶意行动者,就像小偷一样,经常寻找进入任何环境最简单、最安静的方式。 配置了不安全属性的帐户是攻击者机会的窗口,可能会暴露风险。
例如,如果启用了 PasswordNotRequired 属性,攻击者可以轻松访问该帐户。 如果帐户具有对其他资源的特权访问权限,则这尤其危险。
如何实现使用此安全评估?
在 查看建议的操作 https://security.microsoft.com/securescore?viewid=actions ,发现哪些帐户具有不安全的属性。
通过修改或删除相关属性,对这些用户帐户采取适当的操作。
修复
使用适用于相关属性的修正,如下表所述。
| 建议的操作 | 修复 | Reason |
|---|---|---|
| 删除 不需要 Kerberos 预身份验证 | 从 Active Directory (AD) 中的帐户属性中删除此设置 | 删除此设置需要对帐户进行 Kerberos 预身份验证,从而提高安全性。 |
| 使用可逆加密删除应用商店密码 | 从 AD 中的帐户属性中删除此设置 | 删除此设置会阻止轻松解密帐户的密码。 |
| 不需要删除密码 | 从 AD 中的帐户属性中删除此设置 | 删除此设置需要与帐户一起使用的密码,并有助于防止对资源进行未经授权的访问。 |
| 删除使用弱加密存储的密码 | 重置帐户密码 | 通过更改帐户的密码,可以使用更强大的加密算法来保护帐户。 |
| 启用 Kerberos AES 加密支持 | 在 AD 中的帐户属性上启用 AES 功能 | 在帐户上启用AES128_CTS_HMAC_SHA1_96或AES256_CTS_HMAC_SHA1_96有助于防止使用较弱的加密密码进行 Kerberos 身份验证。 |
| 删除 对此帐户使用 Kerberos DES 加密类型 | 从 AD 中的帐户属性中删除此设置 | 删除此设置后,可以对帐户的密码使用更强的加密算法。 |
| 删除服务主体名称 (SPN) | 从 AD 中的帐户属性中删除此设置 | 使用 SPN 集配置用户帐户时,这意味着该帐户已与一个或多个 SPN 相关联。 当安装或注册服务以在特定用户帐户下运行,并且创建 SPN 以唯一标识用于 Kerberos 身份验证的服务工作区时,通常会发生这种情况。 此建议仅针对敏感帐户显示。 |
使用 UserAccountControl 标志操作用户帐户配置文件。 有关更多信息,请参阅:
注意
虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响实体的列表在实施建议后的几分钟内更新,但状态可能仍需要一段时间才能标记为 “已完成”。