Evaluación de seguridad: configuraciones de dominio no seguras
¿Qué son las configuraciones de dominio no seguras?
Microsoft Defender for Identity supervisa continuamente el entorno para identificar dominios con valores de configuración que exponen un riesgo de seguridad e informes sobre estos dominios para ayudarle a proteger el entorno.
¿Qué riesgo suponen las configuraciones de dominio no seguras?
Las organizaciones que no pueden proteger sus configuraciones de dominio dejan la puerta abierta para actores malintencionados.
Los actores malintencionados, al igual que los ladrones, suelen buscar la manera más sencilla y tranquila de entrar en cualquier entorno. Los dominios configurados con configuraciones no seguras son ventanas de oportunidad para los atacantes y pueden exponer riesgos.
Por ejemplo, si no se aplica la firma LDAP, un atacante puede poner en peligro las cuentas de dominio. Esto es especialmente arriesgado si la cuenta tiene acceso con privilegios a otros recursos, como sucede con el ataque KrbRelayUp.
Cómo usar esta evaluación de seguridad?
- Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar qué dominios tienen configuraciones no seguras.
- Realice las acciones adecuadas en estos dominios modificando o quitando las configuraciones pertinentes.
Nota:
Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza a los pocos minutos de la implementación de las recomendaciones, el estado todavía puede tardar tiempo hasta que se marca como Completado.
Remediación
Use la corrección adecuada para las configuraciones pertinentes, como se describe en la tabla siguiente.
| Acción recomendada | Remediación | Reason |
|---|---|---|
| Aplicar la directiva de firma LDAP a "Requerir firma" | Se recomienda requerir la firma LDAP de nivel de controlador de dominio. Para más información sobre la firma del servidor LDAP, consulte Requisitos de firma del servidor LDAP del controlador de dominio. | El tráfico de red sin firmar es susceptible a ataques de tipo "man in the middle". |
| Establezca ms-DS-MachineAccountQuota en "0" | Establezca el atributo MS-DS-Machine-Account-Quota en "0". | Limitar la capacidad de los usuarios sin privilegios para registrar dispositivos en el dominio. Para obtener más información sobre esta propiedad en particular y cómo afecta al registro de dispositivos, consulte Límite predeterminado al número de estaciones de trabajo que un usuario puede unir al dominio. |