Avaliação de segurança: atributos de conta não seguros
O que são atributos de conta não segura?
O Microsoft Defender for Identity monitora continuamente seu ambiente para identificar contas com valores de atributo que expõem um risco de segurança e emite relatórios sobre essas contas para ajudá-lo a proteger seu ambiente.
Que risco representam os atributos de conta não segura?
As organizações que não conseguem proteger seus atributos de conta deixam a porta aberta para agentes mal-intencionados.
Atores mal-intencionados, assim como ladrões, muitas vezes procuram a maneira mais fácil e silenciosa de entrar em qualquer ambiente. Contas configuradas com atributos não seguros são janelas de oportunidade para invasores e podem expor riscos.
Por exemplo, se o atributo PasswordNotRequired estiver habilitado, um invasor poderá acessar facilmente a conta. Isso é especialmente arriscado se a conta tiver acesso privilegiado a outros recursos.
Como faço para usar essa avaliação de segurança?
Revise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais de suas contas têm atributos não seguros.
Execute a ação apropriada nessas contas de usuário modificando ou removendo os atributos relevantes.
Remediação
Use a correção apropriada para o atributo relevante, conforme descrito na tabela a seguir.
| Ação recomendada | Remediação | Motivo |
|---|---|---|
| Remover Não requer pré-autenticação Kerberos | Remover essa configuração das propriedades da conta no Active Directory (AD) | A remoção dessa configuração requer uma pré-autenticação Kerberos para a conta, resultando em segurança aprimorada. |
| Remover senha da Loja usando criptografia reversível | Remover essa configuração das propriedades da conta no AD | A remoção dessa configuração impede a descriptografia fácil da senha da conta. |
| Remover senha não é necessário | Remover essa configuração das propriedades da conta no AD | A remoção dessa configuração requer que uma senha seja usada com a conta e ajuda a impedir o acesso não autorizado aos recursos. |
| Remover senha armazenada com criptografia fraca | Redefinir a senha da conta | A alteração da senha da conta permite que algoritmos de criptografia mais fortes sejam usados para sua proteção. |
| Habilitar o suporte à criptografia AES Kerberos | Habilitar recursos AES nas propriedades da conta no AD | Habilitar AES128_CTS_HMAC_SHA1_96 ou AES256_CTS_HMAC_SHA1_96 na conta ajuda a impedir o uso de cifras de criptografia mais fracas para autenticação Kerberos. |
| Remover Usar tipos de criptografia Kerberos DES para esta conta | Remover essa configuração das propriedades da conta no AD | A remoção dessa configuração permite o uso de algoritmos de criptografia mais fortes para a senha da conta. |
| Remover um SPN (Nome da Entidade de Serviço) | Remover essa configuração das propriedades da conta no AD | Quando uma conta de usuário é configurada com um SPN definido, isso significa que a conta foi associada a um ou mais SPNs. Isso geralmente ocorre quando um serviço é instalado ou registrado para ser executado em uma conta de usuário específica e o SPN é criado para identificar exclusivamente o espaço de trabalho de serviço para autenticação Kerberos. Essa recomendação só foi exibida para contas confidenciais. |
Use o sinalizador UserAccountControl para manipular perfis de conta de usuário. Para saber mais, veja:
- Documentação de solução de problemas de Windows Server.
- Propriedades do Usuário - Seção Conta
- Introduction to Active Directory Administrative Center Enhancements (Level 100)
- Centro de Administração do Active Directory
Observação
Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.