セキュリティ評価: セキュリティで保護されていないアカウント属性

  • [アーティクル]

セキュリティで保護されていないアカウント属性とは

Microsoft Defender for Identity は、環境を継続的に監視して、セキュリティ リスクをもたらす属性値があるアカウントを特定し、これらのアカウントに関するレポートを作成して、環境の保護をアシストします。

セキュリティで保護されていないアカウント属性がもたらすリスクとは

アカウントの属性をセキュリティで保護できていない組織は、悪意のあるアクターに対してドアのロックを閉めないままにしておくようなものです。

悪意のあるアクターは泥棒のように多くの場合、すべての環境で最も簡単で静かな方法を探します。 セキュリティで保護されていない属性で構成されたアカウントは、攻撃者にとってのチャンスの入口であり、リスクをもたらすことがあります。

たとえば、PasswordNotRequired 属性が有効になっている場合、攻撃者はアカウントに簡単にアクセスできます。 アカウントが他のリソースへの特権アクセス権を持っている場合、これは特に危険です。

このセキュリティ評価はどのように使用できますか。

  1. https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認し、どのアカウントにセキュリティで保護されていない属性あるかを見つけます。

    Review top impacted entities and create an action plan.

  2. 関連する属性を変更または削除して、これらのユーザー アカウントに対して適切なアクションを実行します。

Remediation

次の表に示すように、関連する属性に適した修復を使用します。

推奨される操作 Remediation 理由
Kerberos 事前認証を必要としないを削除する Active Directory (AD) のアカウント プロパティからこの設定を削除する この設定を削除すると、アカウントの Kerberos 事前認証が必要になり、セキュリティが向上します。
可逆暗号化を使用したストア パスワードを削除する AD のアカウント プロパティからこの設定を削除する この設定を削除すると、アカウントのパスワードを簡単に復号化できなくなります。
パスワードを削除する必要はありません AD のアカウント プロパティからこの設定を削除する この設定を削除すると、アカウントでパスワードを使用する必要があり、リソースへの不正アクセスを防ぐことができます。
弱い暗号化で保存されているパスワードを削除する アカウントのパスワードをリセットする アカウントのパスワードを変更すると、より強力な暗号化アルゴリズムを保護に使用できます。
Kerberos AES 暗号化のサポートを有効にする AD のアカウント プロパティで AES 機能を有効にする アカウントで AES128_CTS_HMAC_SHA1_96 or AES256_CTS_HMAC_SHA1_96 を有効にすると、Kerberos 認証で弱い暗号化暗号の使用を防ぐことができます。
このアカウントに Kerberos DES 暗号タイプの使用を削除する AD のアカウント プロパティからこの設定を削除する この設定を削除すると、アカウントのパスワードに対してより強力な暗号化アルゴリズムを使用できます。
サービス プリンシパル名 (SPN) を削除する AD のアカウント プロパティからこの設定を削除する ユーザー アカウントが SPN セットで構成されている場合は、そのアカウントが 1 つ以上の SPN に関連付けられていることを意味します。 これは通常、特定のユーザー アカウントで実行するためにサービスがインストールまたは登録され、Kerberos 認証用のサービス ワークスペースを一意に識別するために SPN が作成される場合に行われます。 この推奨事項は、機密性の高いアカウントに対してのみ表示されます。

UserAccountControl フラグを使用して、ユーザー アカウント プロファイルを操作します。 詳細については、以下を参照してください:

Note

評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態が完了としてマークされるまでに時間がかかる場合があります。

次のステップ