Del via

Sikkerhedsvurdering: Usikre domænekonfigurationer

  • Artikel

Hvad er usikre domænekonfigurationer?

Microsoft Defender for Identity overvåger løbende dit miljø for at identificere domæner med konfigurationsværdier, der eksponerer en sikkerhedsrisiko, og rapporter på disse domæner for at hjælpe dig med at beskytte dit miljø.

Hvilken risiko udgør usikre domænekonfigurationer?

Organisationer, der ikke kan sikre deres domænekonfigurationer, lader døren være ulåst for ondsindede aktører.

Ondsindede aktører, meget gerne tyve, ofte leder efter den nemmeste og roligste måde ind i et miljø. Domæner, der er konfigureret med usikre konfigurationer, er vinduer med muligheder for hackere og kan udsætte risici.

Hvis LDAP-signering f.eks. ikke gennemtvinges, kan en hacker kompromittere domænekonti. Dette er især risikabelt, hvis kontoen har privilegeret adgang til andre ressourcer, som med KrbRelayUp-angrebet.

Hvordan gør jeg bruge denne sikkerhedsvurdering?

  1. Gennemse den anbefalede handling på https://security.microsoft.com/securescore?viewid=actions for at finde ud af, hvilke af dine domæner der har usikre konfigurationer. Gennemse de mest påvirkede enheder, og opret en handlingsplan.
  2. Udfør de nødvendige handlinger på disse domæner ved at ændre eller fjerne de relevante konfigurationer.

Bemærk!

Selvom vurderinger opdateres i næsten realtid, opdateres scorer og statusser hver 24. time. Selvom listen over påvirkede enheder opdateres inden for få minutter efter, at du har implementeret anbefalingerne, kan status stadig tage tid, indtil den er markeret som Fuldført.

Oprydning

Brug den afhjælpning, der passer til de relevante konfigurationer, som beskrevet i følgende tabel.

Anbefalet handling Oprydning Årsag
Gennemtving LDAP-signeringspolitik til "Kræv signering" Vi anbefaler, at du kræver LDAP-signering på domænecontrollerniveau. Du kan få mere at vide om signering af LDAP-server under Signeringskrav til LDAP-domænecontrollerserver. Usigneret netværkstrafik er udsat for man-in-the-middle-angreb.
Angiv ms-DS-MachineAccountQuota til "0" Angiv attributten MS-DS-Machine-Account-Quota til "0". Begrænsning af muligheden for, at brugere, der ikke har rettigheder, kan registrere enheder i domænet. Du kan få flere oplysninger om denne bestemte egenskab, og hvordan den påvirker enhedsregistrering, under Standardgrænse for antallet af arbejdsstationer, som en bruger kan tilmelde sig domænet.

Se også