Freigeben über

Sicherheitsbewertung: Unsichere Domänenkonfigurationen

  • Artikel

Was sind unsichere Domänenkonfigurationen?

Microsoft Defender for Identity ihre Umgebung kontinuierlich überwachen, um Domänen mit Konfigurationswerten zu identifizieren, die ein Sicherheitsrisiko darstellen, und berichte über diese Domänen, um Sie beim Schutz Ihrer Umgebung zu unterstützen.

Welches Risiko stellen unsichere Domänenkonfigurationen dar?

Organisationen, die ihre Domänenkonfigurationen nicht schützen können, lassen die Tür für böswillige Akteure entsperrt.

Böswillige Akteure, ähnlich wie Diebe, suchen oft nach dem einfachsten und leisesten Weg in jede Umgebung. Domänen, die mit unsicheren Konfigurationen konfiguriert sind, sind Chancen für Angreifer und können Risiken offenlegen.

Wenn beispielsweise die LDAP-Signatur nicht erzwungen wird, kann ein Angreifer Domänenkonten kompromittieren. Dies ist besonders riskant, wenn das Konto privilegierten Zugriff auf andere Ressourcen hat, wie beim KrbRelayUp-Angriff.

Gewusst wie diese Sicherheitsbewertung verwenden?

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions , um herauszufinden, welche Ihrer Domänen unsichere Konfigurationen aufweisen. Überprüfen Sie die am häufigsten betroffenen Entitäten, und erstellen Sie einen Aktionsplan.
  2. Ergreifen Sie geeignete Maßnahmen für diese Domänen, indem Sie die relevanten Konfigurationen ändern oder entfernen.

Hinweis

Während Bewertungen nahezu in Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, kann die status noch einige Zeit dauern, bis sie als Abgeschlossen markiert ist.

Sanierung

Verwenden Sie die korrektur, die für die relevanten Konfigurationen geeignet ist, wie in der folgenden Tabelle beschrieben.

Empfohlenes Vorgehen Sanierung Grund
Erzwingen der LDAP-Signaturrichtlinie auf "Signierung erforderlich" Es wird empfohlen, dass Sie eine LDAP-Signatur auf Domänencontrollerebene benötigen. Weitere Informationen zur Signierung von LDAP-Servern finden Sie unter Signierungsanforderungen für ldap-Server für Domänencontroller. Nicht signierter Netzwerkdatenverkehr ist anfällig für Man-in-the-Middle-Angriffe.
Legen Sie ms-DS-MachineAccountQuota auf "0" fest. Legen Sie das Attribut MS-DS-Machine-Account-Quota auf "0" fest. Einschränken der Möglichkeit von Benutzern ohne Berechtigungen, Geräte in der Domäne zu registrieren. Weitere Informationen zu dieser speziellen Eigenschaft und ihren Auswirkungen auf die Geräteregistrierung finden Sie unter Standardlimit für die Anzahl von Arbeitsstationen, die ein Benutzer der Domäne beitreten kann.

Siehe auch