Sdílet prostřednictvím

Posouzení zabezpečení: Nezabezpečené konfigurace domény

  • Článek

Co jsou nezabezpečené konfigurace domény?

Microsoft Defender for Identity nepřetržitě monitoruje vaše prostředí, aby identifikovala domény s hodnotami konfigurace, které vystavují bezpečnostní riziko, a sestavy o těchto doménách, které vám pomohou chránit vaše prostředí.

Jaké riziko představují nezabezpečené konfigurace domény?

Organizace, kterým se nepodaří zabezpečit konfigurace domény, nechávají dveře pro aktéry se zlými úmysly odemknuté.

Zlovolní aktéři, podobně jako zloději, často hledají nejjednodušší a nejklidnější cestu do jakéhokoli prostředí. Domény nakonfigurované s nezabezpečenými konfiguracemi jsou pro útočníky příležitostí a můžou vystavit rizika.

Pokud se například nevynucuje podepisování LDAP, útočník může ohrozit doménové účty. To je obzvláště rizikové, pokud má účet privilegovaný přístup k jiným prostředkům, jako u útoku KrbRelayUp.

Návody použít toto posouzení zabezpečení?

  1. Projděte si doporučenou akci v části https://security.microsoft.com/securescore?viewid=actions a zjistěte, které z vašich domén mají nezabezpečené konfigurace. Zkontrolujte entity s nejvyšším dopadem a vytvořte plán akcí.
  2. U těchto domén proveďte příslušnou akci úpravou nebo odebráním příslušných konfigurací.

Poznámka

Zatímco se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit aktualizuje během několika minut od implementace doporučení, může stav ještě nějakou dobu trvat, než se označí jako Dokončeno.

Náprava

Použijte nápravu odpovídající příslušným konfiguracím, jak je popsáno v následující tabulce.

Doporučená akce Náprava Důvod
Vynutit zásadu podepisování LDAP na "Vyžadovat podepisování" Doporučujeme, abyste vyžadovali podepisování LDAP na úrovni řadiče domény. Další informace o podepisování serveru LDAP najdete v tématu Požadavky na podepisování serveru LDAP řadiče domény. Nepodepsaný síťový provoz je náchylný k útokům man-in-the-middle.
Nastavte ms-DS-MachineAccountQuota na hodnotu 0. Nastavte atribut MS-DS-Machine-Account-Quota na hodnotu 0. Omezení schopnosti neprivilegovaných uživatelů registrovat zařízení v doméně Další informace o této konkrétní vlastnosti a o tom, jak ovlivňuje registraci zařízení, najdete v tématu Výchozí limit počtu pracovních stanic, ke které se uživatel může připojit k doméně.

Viz taky