Оценки состояния безопасности учетных записей

Определение учетных записей служб в привилегированных группах

Описание

Список учетных записей служб Active Directory в вашей среде, которые являются членами привилегированных групп, включая прямое и вложенное членство.

Влияние на пользователей

Учетные записи служб часто имеют долговременные учетные данные и используются приложениями, сценариями или автоматизированными задачами. Если эти учетные записи являются членами групп с высоким уровнем привилегий (например, администраторы домена или администраторы предприятия), они увеличивают область атаки организации. Компрометация одной из этих учетных записей может предоставить злоумышленнику широкий административный доступ к критически важным системам и данным. Кроме того, так как учетные записи служб не привязаны к конкретному пользователю и часто не имеют интерактивного мониторинга, вредоносные действия, выполняемые в этих учетных записях, могут быть незамеченными, что задерживает обнаружение и реагирование.

Реализация

1. Просмотрите доступные сущности, чтобы определить учетные записи служб Active Directory, которые являются членами привилегированных групп, таких как администраторы домена, администраторы предприятия или администраторы.

2. Удалите учетную запись из привилегированной группы, если доступ с повышенными привилегиями не требуется, или отключите учетную запись, если она не используется.

Например, вы можете:

• Неиспользуемая или списанная учетная запись службы:

  • Отключите учетную запись в Active Directory после подтверждения отсутствия последних входов и зависимостей.

  • Мониторинг в течение короткого периода (7–14 дней). Если он неактивен, удалите его в соответствии с политикой.

• Активная учетная запись службы без прав администратора:

  • Удалите его из привилегированной группы, как указано в отчете.

  • Предоставьте только минимальный необходимый доступ через делегированные разрешения или группы безопасности с заданной областью.

• Замените устаревшие учетные записи:

  • Перенос учетных записей служб в групповые управляемые учетные записи служб (gMSA) для автоматической смены паролей и снижения уязвимости учетных данных.

• Учетные записи, которые должны оставаться привилегированными

  • Ограничьте место входа с помощью свойства Вход в .

  • Ограничьте интерактивные входы в систему с помощью групповая политика и включите целенаправленный аудит для их действий.

  • Требовать владения, документации и периодической проверки привилегированного членства.

Поиск учетных записей во встроенных группах операторов

Описание

Список учетных записей Active Directory (пользователей, учетных записей служб и групп), которые являются членами встроенных групп операторов, таких как операторы сервера, операторы резервного копирования, операторы печати или операторы учетных записей, включая прямое и косвенное членство. Эти группы предоставляют повышенные привилегии, которые можно использовать для компрометации контроллеров домена или конфиденциальных серверов.

Влияние на пользователей

Группы операторов обеспечивают широкий контроль над серверами, файлами и системным операциями. Члены этих групп могут выполнять административные действия, такие как остановка критически важных служб, изменение файлов или восстановление данных, которые можно использовать для повышения привилегий или получения сохраняемости. Поскольку эти группы редко требуются в современных средах, оставление учетных записей в них неоправданно увеличивает риск злоупотребления привилегиями или бокового смещения.

Реализация

1. Просмотрите список доступных сущностей, чтобы определить, какие из ваших учетных записей AD являются членами одной из встроенных групп операторов (например, операторы сервера, операторы резервного копирования, операторы печати и операторы учетных записей).

2. Удалите учетную запись из группы операторов, если доступ с повышенными привилегиями не требуется, или отключите учетную запись, если она не используется.

Например, вы можете:

• Удалите членство или отключите учетную запись службы или администратора, которые были добавлены в операторы резервного копирования для устаревшего процесса резервного копирования, который больше не выполняется.

• Если учетная запись по-прежнему выполняет рабочие задачи, но не требует широких прав оператора, делегируйте только необходимые ей разрешения (например, восстановление файлов или управление печатью на одном сервере).

• Если членство в группах операторов важно для конкретной административной функции, отслеживайте учетную запись, ограничьте ее необходимыми узлами и регулярно проверяйте ее, чтобы подтвердить постоянную необходимость.

Учетные записи с идентификатором основной группы, не используемой по умолчанию

Описание

Эта рекомендация содержит список всех компьютеров и учетных записей пользователей, атрибут primaryGroupId (PGID) которых не используется по умолчанию для пользователей домена и компьютеров в Active Directory.

Влияние на пользователей

Атрибут primaryGroupId учетной записи пользователя или компьютера предоставляет неявное членство в группе. Членство через этот атрибут не отображается в списке членов группы в некоторых интерфейсах. Этот атрибут можно использовать как попытку скрыть членство в группе. Злоумышленник может незаметно повысить привилегии, не запуская обычный аудит изменений членства в группах. 

Реализация

1. Просмотрите список открытых сущностей, чтобы узнать, какие из ваших учетных записей имеют подозрительный primaryGroupId.  

2. Выполните соответствующие действия с этими учетными записями, сбросив их атрибут до значений по умолчанию или добавив участника в соответствующую группу:

• Учетные записи пользователей: 513 (пользователи домена) или 514 (гости домена);

• Учетные записи компьютеров: 515 (компьютеры домена);

• Учетные записи контроллеров домена: 516 (контроллеры домена);

• Учетные записи контроллера домена только для чтения (RODC): 521 (контроллеры домена только для чтения).

Удаление прав доступа для подозрительных учетных записей с разрешением АДМИНИСТРАТОР SDHolder

Описание

Наличие учетных записей без конфиденциальности с разрешениями Администратор SDHolder (владелец дескриптора безопасности) может иметь значительные последствия для безопасности, в том числе:

• Приводит к несанкционированной эскалации привилегий, когда злоумышленники могут использовать эти учетные записи для получения административного доступа и компрометации конфиденциальных систем или данных.
• Увеличение направлений атак, усложнение отслеживания и устранения инцидентов безопасности, что может привести к более большим рискам для организации.

Реализация

1. Ознакомьтесь с рекомендуемыми действиями в разделе https://security.microsoft.com/securescore?viewid=actionsУдаление прав доступа для подозрительных учетных записей с разрешением АДМИНИСТРАТОР SDHolder.

   Например, вы можете:

   

2. Просмотрите список доступных сущностей, чтобы узнать, какие из ваших учетных записей, не являющихся конфиденциальными, имеют разрешение Администратор SDHolder.

3. Выполните соответствующие действия с этими сущностями, удалив их привилегированные права доступа. Например, вы можете:

   1. Используйте средство редактирования ADSI для подключения к контроллеру домена.
   2. Перейдите к контейнеру CN=System>CN=AdminSDHolder и откройте свойства контейнера CN=AdminSDHolder .
   3. Перейдите на вкладку >Безопасность Дополнительно и удалите все не конфиденциальные сущности. Это сущности, помеченные как предоставляемые в оценке безопасности.

   Дополнительные сведения см. в разделе Интерфейсы службы Active Directory и документация по редактированию ADSI .

Чтобы получить полную оценку, исправьте все предоставляемые сущности.

Изменение пароля для учетной записи krbtgt

Описание

В этой рекомендации перечислены все учетные записи krbtgt в вашей среде с паролем, который последний раз был задан более 180 дней назад.

Влияние на пользователей

Учетная запись krbtgt в Active Directory — это встроенная учетная запись, используемая службой проверки подлинности Kerberos. Он шифрует и подписывает все билеты Kerberos, обеспечивая безопасную проверку подлинности в домене. Учетную запись нельзя удалить, и ее защита имеет решающее значение, так как компрометация может позволить злоумышленникам подделать билеты проверки подлинности.
Если пароль учетной записи KRBTGT скомпрометирован, злоумышленник может использовать его хэш для создания действительных билетов проверки подлинности Kerberos, что позволяет им выполнять атаки Golden Ticket и получать доступ к любому ресурсу в домене AD. Так как Kerberos использует пароль KRBTGT для подписи всех билетов, тщательный мониторинг и регулярное изменение этого пароля имеет важное значение для снижения риска таких атак.

Реализация

1. Просмотрите список открытых сущностей, чтобы узнать, какие из учетных записей krbtgt имеют старый пароль.

2. Выполните соответствующие действия с этими учетными записями, дважды сбросив пароль, чтобы сделать атаку Golden Ticket недействительным. 

Изменение пароля для локальной учетной записи с потенциально утечкой учетных данных (предварительная версия)

Описание

В этом отчете перечислены пользователи, у которых произошла утечка допустимых учетных данных. Когда киберпреступники скомпрометирует допустимые пароли законных пользователей, преступники часто используют эти учетные данные. Это делается путем публикации их публично на темной веб-странице или вставки сайтов или путем торговли или продажи учетных данных на черном рынке. Служба утечки учетных данных Майкрософт получает пары имени пользователя и пароля, отслеживая общедоступные и темные веб-сайты и работая с командами по безопасности правоохранительных органов в других надежных источниках Майкрософт.

Влияние на пользователей

Когда служба получает учетные данные пользователя из темного веб-сайта, вставки сайтов или указанных выше источников, злоумышленники могут использовать учетную запись с скомпрометированных учетных данных, чтобы получить несанкционированный доступ.

Реализация

1. Ознакомьтесь с рекомендуемыми действиями в разделе https://security.microsoft.com/securescore?viewid=actionsИзменение пароля для учетных записей с потенциально утечкой учетных данных.
2. Просмотрите список открытых сущностей, чтобы узнать, какие пароли вашей учетной записи были утечки.
3. Выполните соответствующие действия с этими сущностями, удалив учетную запись службы:
   1. Откройте консоль Пользователи и компьютеры Active Directory (ADUC) и войдите с учетной записью администратора.
   2. Перейдите к подразделению, где находится учетная запись пользователя.
   3. Найдите и выберите учетную запись пользователя, для которую требуется изменить пароль.
   4. Щелкните правой кнопкой мыши учетную запись пользователя, выберите Сбросить пароль, введите новый пароль и подтвердите его.

Изменение пароля встроенной учетной записи администратора домена

Описание

В этой рекомендации перечислены все встроенные учетные записи администратора домена в вашей среде с паролем, который последний раз был задан более 180 дней назад. 

Влияние на пользователей

Встроенная учетная запись администратора домена — это учетная запись AD с высоким уровнем привилегий по умолчанию с полным контролем над доменом. Он не может быть удален, имеет неограниченный доступ и имеет решающее значение для управления ресурсами домена.

Регулярное обновление пароля встроенной учетной записи администратора имеет важное значение из-за ее высоких привилегий, что делает ее основной целью для злоумышленников. В случае компрометации он может предоставить несанкционированный контроль над доменом. Так как эта учетная запись часто не используется, а ее пароль может обновляться нечасто, регулярные изменения снижают уязвимость и повышают безопасность. 

Реализация

1. Просмотрите список доступных сущностей, чтобы узнать, у какой из ваших встроенных учетных записей администратора домена есть старый пароль.  

2. Выполните соответствующие действия с этими учетными записями, сбросив их пароль.  

   Например, вы можете:

Неактивные сущности в конфиденциальных группах

Описание

Microsoft Defender для удостоверений обнаруживает, являются ли определенные пользователи конфиденциальными, а также предоставляет атрибуты, которые отображаются, если они неактивны, отключены или истекли.

Однако конфиденциальные учетные записи также могут стать неактивными , если они не используются в течение 180 дней. Неактивные конфиденциальные сущности являются целевыми объектами, в которых злоумышленники могут получить конфиденциальный доступ к вашей организации.

Дополнительные сведения см. в разделе Теги сущностей Defender для удостоверений в Microsoft Defender XDR.

Влияние на пользователей

Организации, которые не могут защитить свои неактивные учетные записи пользователей, оставляют дверь разблокирована для защиты конфиденциальных данных.

Злонамеренные актеры, как и воры, часто ищут самый простой и тихий путь в любую среду. Простой и спокойный путь в вашей организации — это конфиденциальные учетные записи пользователей и служб, которые больше не используются.

Не имеет значения, является ли причина текучесть сотрудников или неправильное управление ресурсами. Пропуск этого шага оставляет наиболее конфиденциальные сущности вашей организации уязвимыми и уязвимыми.

Реализация

1. Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какие из ваших конфиденциальных учетных записей неактивны.

   

2. Выполните соответствующие действия с этими учетными записями пользователей, удалив их привилегированные права доступа или удалив учетную запись.

Удаление учетных записей, не являющихся администраторами, с разрешениями DCSync

Описание

Учетные записи с разрешением DCSync могут инициировать репликацию домена. Злоумышленники могут использовать репликацию домена для получения несанкционированного доступа, управления данными домена или нарушения целостности и доступности вашей среды Active Directory.

Очень важно тщательно контролировать и ограничивать членство в этой группе, чтобы обеспечить безопасность и целостность процесса репликации домена.

Реализация

1. Ознакомьтесь с рекомендуемыми действиями в разделе https://security.microsoft.com/securescore?viewid=actionsУдаление учетных записей, не относящихся к администраторам, с разрешениями DCSync.

   

2. Просмотрите этот список доступных сущностей, чтобы узнать, какие из учетных записей имеют разрешения DCSync, а также являются администраторами, не являющиеся доменными.

3. Выполните соответствующие действия с этими сущностями, удалив их привилегированные права доступа.

Чтобы достичь максимальной оценки, исправьте все предоставляемые сущности.

Доступ к Пользователи и компьютеры Active Directory можно получить, войдя в контроллер домена. Чтобы удалить разрешения DCSync для учетной записи без прав администратора, выполните следующие действия.

1. Откройте пункт "Пользователи и компьютеры Active Directory".

2. Включите дополнительные функции. Это необходимо для отображения вкладки Безопасность для объектов предметной области.

3. Откройте свойства домена, выберите доменное имя (например, contoso.local), а затем выберите Свойства.

4. Откройте вкладку Безопасность.

5. Выберите целевого пользователя или группу, а затем выберите пользователя без прав администратора или учетную запись службы, у которых не должно быть этих разрешений.

6. Снимите флажок разрешения репликации. Прокрутите список "Разрешения для [пользователя]" снимите флажок следующие разрешения, если они выбраны:

   • Репликация изменений каталога
   • Репликация каталогов изменяет все

7. Нажмите кнопку Применить, а затем нажмите кнопку ОК.

Убедитесь, что привилегированные учетные записи не делегированы

Описание

В этой рекомендации перечислены все привилегированные учетные записи, для которых не включен параметр "не делегировано", и выделены те из них, которые потенциально подвержены рискам, связанным с делегированием. Привилегированные учетные записи — это учетные записи, которые являются членами привилегированной группы, например администраторы домена, администраторы схемы и т. д. 

Влияние на пользователей

Если конфиденциальный флаг отключен, злоумышленники могут использовать делегирование Kerberos для неправильного использования учетных данных привилегированной учетной записи, что приводит к несанкционированный доступ, боковое перемещение и потенциальные нарушения безопасности на уровне сети. Установка конфиденциального флага для учетных записей привилегированных пользователей не позволяет пользователям получить доступ к учетной записи и управлять параметрами системы.
Для учетных записей устройств важно задать для них значение "не делегировано", чтобы предотвратить их использование в любом сценарии делегирования, гарантируя, что учетные данные на этом компьютере не могут быть перенаправлены для доступа к другим службам.

Реализация

1. Просмотрите список открытых сущностей, чтобы узнать, какая из ваших привилегированных учетных записей не имеет флаг конфигурации "Эта учетная запись является конфиденциальной и не может быть делегирована".

2. Выполните соответствующие действия для этих учетных записей:

• Для учетных записей пользователей: задав для флагов управления учетной записи значение "Эта учетная запись является конфиденциальной и не может быть делегирована". На вкладке Учетная запись выберите поле проверка этого флага в разделе Параметры учетной записи. Это не позволит пользователям получить доступ к учетной записи и управлять параметрами системы.  

  

• Для учетных записей устройств:
  Самый безопасный подход — использовать скрипт PowerShell для настройки устройства, чтобы предотвратить его использование в любом сценарии делегирования, гарантируя, что учетные данные на этом компьютере не могут быть переадресованы для доступа к другим службам.

  $name = "ComputerA" 
  Get-ADComputer -Identity $name |
  Set-ADAccountControl -AccountNotDelegated:$true
  

  Другой вариант — задать атрибуту UserAccountControl значение NOT_DELEGATED = 0x100000 на вкладке Редактор атрибутов для предоставленного устройства.

  Например, вы можете:

  

Сущности, предоставляющие учетные данные в виде ясного текста

Описание

Эта оценка безопасности отслеживает трафик для любых сущностей, предоставляющих учетные данные в виде ясного текста, и оповещает вас о текущих рисках уязвимости (наиболее затронутых сущностях) в вашей организации с предлагаемыми исправлениями.

Влияние на пользователей

Сущности, предоставляющие учетные данные в виде открытого текста, являются рискованными не только для рассматриваемой сущности, но и для всей организации.

Повышенный риск связан с тем, что небезопасный трафик, например ldap simple-bind, очень восприимчив к перехвату атак злоумышленника в середине. Эти типы атак приводят к вредоносным действиям, включая раскрытие учетных данных, в которых злоумышленник может использовать учетные данные для вредоносных целей.

Реализация

1. Просмотрите рекомендуемое действие по адресу https://security.microsoft.com/securescore?viewid=actions.

   

   

2. Изучите, почему эти сущности используют ПРОТОКОЛ LDAP в виде ясного текста.

3. Устраните проблемы и остановите разоблачение.

4. После подтверждения исправления рекомендуется требовать подписывание LDAP на уровне контроллера домена. Дополнительные сведения о подписывание сервера LDAP см. в статье Требования к подписыванию ldap-сервера контроллера домена.

Использование Microsoft LAPS

Описание

Решение microsoft Local Administrator Password Solution (LAPS) обеспечивает управление паролями учетных записей локального администратора для компьютеров, присоединенных к домену. Пароли рандомизированы и хранятся в Active Directory (AD), защищены списками управления доступом, поэтому только соответствующие пользователи могут прочитать их или запросить его сброс.

Эта оценка безопасности поддерживает устаревшие microsoft LAPS и Windows LAPS.

Влияние на пользователей

LAPS позволяет решить проблему использования общей локальной учетной записи с одинаковым паролем на каждом компьютере в домене. LAPS устраняет эту проблему, задавая другой сменяемый случайный пароль для общей учетной записи локального администратора на каждом компьютере в домене.

LAPS упрощает управление паролями, помогая клиентам реализовать более рекомендуемую защиту от кибератак. В частности, решение снижает риск боковой эскалации, которая приводит к тому, что клиенты используют одну и ту же комбинацию локальной учетной записи администратора и пароля на своих компьютерах. LAPS хранит пароль для учетной записи локального администратора каждого компьютера в AD, защищенный в конфиденциальном атрибуте в соответствующем объекте AD компьютера. Компьютер может обновлять собственные данные паролей в AD, а администраторы домена могут предоставлять доступ на чтение авторизованным пользователям или группам, таким как администраторы службы технической поддержки рабочих станций.

Реализация

1. Ознакомьтесь с рекомендуемыми действиями, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какие из ваших доменов имеют некоторые (или все) совместимые устройства с Windows, которые не защищены с помощью LAPS или на которых за последние 60 дней не был изменен управляемый пароль LAPS.

   

2. Для доменов, которые частично защищены, выберите соответствующую строку, чтобы просмотреть список устройств, не защищенных LAPS в этом домене.

   

3. Выполните соответствующие действия на этих устройствах, скачивая, устанавливая и настраивая или устраняя неполадки Microsoft LAPS или Windows LAPS.

   

Удаление обнаруживаемых паролей в атрибутах учетной записи Active Directory (предварительная версия)

Описание

Некоторые атрибуты свободного текста часто упускаются из виду во время усиления защиты, но доступны для чтения любым пользователем, прошедшим проверку подлинности в домене. Если учетные данные или подсказки по ошибке хранятся в этих атрибутах, злоумышленники могут злоупотреблять ими для бокового перемещения по среде или повышения привилегий.

Злоумышленники ищут пути с низким уровнем трения для расширения доступа. Открытые пароли в этих атрибутах представляют собой простую победу, так как:

• Атрибуты не ограничены доступом.

• По умолчанию они не отслеживаются.

• Они предоставляют контекстные злоумышленники могут использовать для бокового перемещения и повышения привилегий.

Удаление предоставленных учетных данных из этих атрибутов снижает риск компрометации удостоверений и повышает уровень безопасности вашей организации.

Microsoft Defender для удостоверений обнаруживает потенциальную уязвимость учетных данных в Active Directory путем анализа часто используемых атрибутов свободного текста. Сюда входит поиск общих форматов паролей, подсказок, 'description'полей , 'info', и 'adminComment' других контекстных подсказок, которые могут свидетельствовать о наличии неправильного использования учетных данных. Эта рекомендация использует анализ атрибутов Active Directory на основе GenAI для обнаружения:

• Пароли или варианты в виде обычного текста. Например, 'Password=Summer2025!'

• Шаблоны учетных данных, указания сброса или конфиденциальные сведения об учетной записи.

• Другие индикаторы, предполагающие неправильное использование полей каталога.

Обнаруженные совпадения отображаются в оценке безопасности и отчете об оценке безопасности для проверки и исправления.

Реализация

Чтобы решить эту оценку безопасности, выполните следующие действия.

1. Ознакомьтесь с рекомендуемым действием в разделе https://security.microsoft.com/securescore?viewid=actions Удаление обнаруживаемых паролей в атрибутах учетной записи Active Directory.

2. Просмотрите предоставленные записи в отчете о безопасности. Определите любое содержимое поля, включающее:

   • Очистка паролей

   • Инструкции по сбросу или подсказки учетных данных

   • Конфиденциальные сведения о бизнесе или системе

3. Удалите конфиденциальную информацию из перечисленных полей атрибутов с помощью стандартных средств управления каталогами (например, PowerShell или редактирование ADSI).

4. Полностью удалите конфиденциальную информацию. Не маскивайте значение. Частичное запутывание (например, P@ssw**) по-прежнему может предоставлять злоумышленникам полезные подсказки.

Удаление устаревших учетных записей служб (предварительная версия)

Описание

В этой рекомендации перечислены учетные записи служб Active Directory, обнаруженные как устаревшие за последние 90 дней.

Влияние на пользователей

Неиспользуемые учетные записи служб создают значительные риски для безопасности, так как некоторые из них могут иметь повышенные привилегии. Если злоумышленники получат доступ, результатом может быть значительный ущерб. Устаревшие учетные записи служб могут сохранять высокие или устаревшие разрешения. При компрометации они предоставляют злоумышленникам сдержанные точки входа в критически важные системы, предоставляя гораздо больше доступа, чем обычная учетная запись пользователя.

Такое воздействие создает несколько рисков:

• Несанкционированный доступ к конфиденциальным приложениям и данным.

• Боковое перемещение по сети без обнаружения.

Реализация

Чтобы эффективно использовать эту оценку безопасности, выполните следующие действия.

1. Ознакомьтесь с рекомендуемыми действиями в разделе https://security.microsoft.com/securescore?viewid=actions  Удаление устаревшей учетной записи службы.

2. Просмотрите список доступных сущностей, чтобы узнать, какие учетные записи служб устарели и не выполняли никаких действий входа за последние 90 дней.

3. Выполните соответствующие действия с этими сущностями, удалив учетную запись службы. Например, вы можете:

   • Отключите учетную запись: Запретите любое использование, отключив учетную запись, определяемую как предоставленную.

   • Мониторинг влияния: Подождите несколько недель и отслеживайте проблемы с работой, такие как сбои службы или ошибки.

   • Удалите учетную запись: Если проблем не наблюдается, удалите учетную запись и полностью удалите ее доступ.

Наиболее рискованные пути бокового смещения (LMP)

Описание

Microsoft Defender для удостоверений постоянно отслеживает среду для выявления конфиденциальных учетных записей с наиболее рискованными путями бокового перемещения, которые подвергаются риску безопасности, и сообщает об этих учетных записях, чтобы помочь вам в управлении средой. Пути считаются рискованными, если у них есть три или более не конфиденциальных учетных записей, которые могут подвергать конфиденциальную учетную запись краже учетных данных злоумышленниками.

Дополнительные сведения о путях бокового см. в следующих разделах:

• Изучение путей бокового смещения (LMP) с помощью Microsoft Defender для удостоверений
• MITRE ATT&боковое движение CK

Влияние на пользователей

Организации, которые не могут защитить свои конфиденциальные учетные записи, оставляют дверь незапертой для злоумышленников.

Злонамеренные актеры, как и воры, часто ищут самый простой и тихий путь в любую среду. Конфиденциальные учетные записи с опасными путями бокового смещения являются окнами возможностей для злоумышленников и могут подвергать риску.

Например, наиболее рискованные пути легче видны злоумышленникам и в случае компрометации могут предоставить злоумышленнику доступ к наиболее конфиденциальным сущностям вашей организации.

Реализация

1. Ознакомьтесь с рекомендуемыми действиями, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какие из ваших конфиденциальных учетных записей имеют рискованные LMP.

   

2. Выполните соответствующие действия:

   • Удалите сущность из группы, как указано в рекомендации.
   • Удалите разрешения локального администратора для сущности с устройства, указанного в рекомендации.

Небезопасное делегирование Kerberos

Описание

Делегирование Kerberos — это параметр делегирования, который позволяет приложениям запрашивать учетные данные доступа конечного пользователя для доступа к ресурсам от имени исходного пользователя.

Влияние на пользователей

Небезопасное делегирование Kerberos дает сущности возможность олицетворять вас для любой другой выбранной службы. Например, представьте, что у вас есть веб-сайт IIS, а учетная запись пула приложений настроена с неограниченным делегированием. На сайте веб-сайта IIS также включена проверка подлинности Windows, что позволяет использовать встроенную проверку подлинности Kerberos, а сайт использует серверную SQL Server для бизнес-данных. С помощью учетной записи Администратор домена перейдите на веб-сайт IIS и выполните на нем проверку подлинности. Веб-сайт, используя неограниченное делегирование, может получить билет службы от контроллера домена к службе SQL и сделать это от вашего имени.

Основная проблема с делегированием Kerberos заключается в том, что необходимо доверять приложению, чтобы всегда делать правильные действия. Вредоносные субъекты могут вместо этого заставить приложение делать неправильные действия. Если вы вошли в систему с правами администратора домена, сайт может создать запрос на любые другие службы, которые он хочет, действуя как вы, администратор домена. Например, сайт может выбрать контроллер домена и внести изменения в группу администраторов предприятия . Аналогичным образом сайт может получить хэш учетной записи KRBTGT или скачать интересный файл из отдела кадров. Риск очевиден, и возможности с небезопасным делегированием почти бесконечны.

Ниже приведено описание риска, создаваемого различными типами делегирования.

• Неограниченное делегирование. Любая служба может злоупотреблять, если одна из записей делегирования является конфиденциальной.
• Ограниченное делегирование. Ограниченными сущностями можно злоупотреблять, если одна из записей делегирования является конфиденциальной.
• Ограниченное делегирование на основе ресурсов (RBCD): сущности с ограниченными ресурсами могут злоупотреблять, если сама сущность является конфиденциальной.

Реализация

1. Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какие из сущностей, не относящихся к контроллеру домена, настроены для небезопасного делегирования Kerberos.

   

2. Примите соответствующие меры для пользователей, подверженных риску, например удалите их атрибут без ограничений или измените его на более безопасное ограниченное делегирование.

3. Используйте исправление, соответствующее типу делегирования.

4. Отключите делегирование или используйте один из следующих типов ограниченного делегирования Kerberos (KCD):

Неограниченное делегирование

1. Выберите Этот компьютер доверенный для делегирования указанных служб.

2. Укажите службы, для которых эта учетная запись может предоставить делегированные учетные данные.

Ограниченное делегирование

Ограничивает службы, которые эта учетная запись может олицетворить.

1. Просмотрите конфиденциальных пользователей, перечисленных в рекомендациях, и удалите их из служб, которым затронутая учетная запись может предоставить делегированные учетные данные.

   

Ограниченное делегирование на основе ресурсов (RBCD)

Ограниченное делегирование на основе ресурсов ограничивает, какие сущности могут олицетворять эту учетную запись. KCD на основе ресурсов настраивается с помощью PowerShell.

1. Можно использовать командлеты Set-ADComputer или Set-ADUser в зависимости от того, является ли олицетворение учетной записью компьютера или учетной записью пользователя или учетной записью службы.

2. Просмотрите конфиденциальных пользователей, перечисленных в рекомендациях, и удалите их из ресурса. Дополнительные сведения о настройке RBCD см. в разделе Настройка ограниченного делегирования Kerberos (KCD) в Доменные службы Microsoft Entra.

Небезопасные атрибуты журнала sid

Описание

Журнал sid — это атрибут, который поддерживает сценарии миграции. Каждая учетная запись пользователя имеет связанный идентификатор безопасности (SID ), который используется для отслеживания субъекта безопасности и доступа учетной записи при подключении к ресурсам. Журнал идентификаторов безопасности позволяет эффективно клонировать другую учетную запись в другую учетную запись. Это полезно для обеспечения того, чтобы пользователи сохраняли доступ при перемещении (переносе) из одного домена в другой.

Оценка проверяет учетные записи с атрибутами журнала sid, которые Microsoft Defender для удостоверений профили рискованными.

Влияние на пользователей

Организации, которые не могут защитить свои атрибуты учетной записи, оставляют дверь разблокирована для злоумышленников.

Злонамеренные актеры, как и воры, часто ищут самый простой и тихий путь в любую среду. Учетные записи, настроенные с небезопасным атрибутом sid History, представляют собой окна возможностей для злоумышленников и могут подвергать риску.

Например, не конфиденциальная учетная запись в домене может содержать идентификатор безопасности enterprise Администратор в журнале идентификаторов безопасности другого домена в лесу Active Directory, что позволяет повысить уровень доступа для учетной записи пользователя до действующего Администратор домена во всех доменах в лесу. Кроме того, если у вас есть доверие к лесу без включенной фильтрации SID (также называемой карантином), можно внедрить идентификатор безопасности из другого леса, и он будет добавлен в маркер пользователя при проверке подлинности и используется для оценки доступа.

Реализация

1. Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какие из ваших учетных записей имеют небезопасный атрибут журнала идентификаторов безопасности.

   

2. Выполните соответствующие действия, чтобы удалить атрибут журнала идентификаторов безопасности из учетных записей с помощью PowerShell, выполнив следующие действия:

   1. Определите идентификатор безопасности в атрибуте SIDHistory учетной записи.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory
      

   2. Удалите атрибут SIDHistory с помощью идентификатора безопасности, определенного ранее.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
      

Небезопасные атрибуты учетной записи

Описание

Microsoft Defender для удостоверений постоянно отслеживает среду, чтобы определить учетные записи со значениями атрибутов, которые подвергаются риску безопасности, и отчеты об этих учетных записях, чтобы помочь вам защитить среду.

Влияние на пользователей

Организации, которые не могут защитить свои атрибуты учетной записи, оставляют дверь разблокирована для злоумышленников.

Злонамеренные актеры, как и воры, часто ищут самый простой и тихий путь в любую среду. Учетные записи, настроенные с небезопасными атрибутами, являются окнами возможностей для злоумышленников и могут подвергать риску.

Например, если включен атрибут PasswordNotRequired , злоумышленник может легко получить доступ к учетной записи. Это особенно опасно, если учетная запись имеет привилегированный доступ к другим ресурсам.

Реализация

1. Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какие из ваших учетных записей имеют небезопасные атрибуты.

   

2. Выполните соответствующие действия с этими учетными записями пользователей, изменив или удалив соответствующие атрибуты.

3. Используйте исправление, соответствующее соответствующему атрибуту, как описано в следующей таблице:

4. Используйте флаг UserAccountControl (UAC) для управления профилями учетных записей пользователей. Дополнительные сведения см. в разделе:

   • Windows Server документации по устранению неполадок.
   • Свойства пользователя — раздел учетной записи
   • Знакомство с улучшениями центра администрирования Active Directory (уровень 100)
   • Центр администрирования Active Directory

Дальнейшие действия

• Дополнительные сведения о оценке безопасности (Майкрософт)
• Посетите форум Defender для удостоверений!