Jaa

Suojauksen arviointi: Suojaamattomat toimialuemääritykset

  • Artikkeli

Mitä ovat suojaamattomat toimialuemääritykset?

Microsoft Defender for Identity valvoo ympäristöäsi jatkuvasti tunnistaakseen toimialueet, joiden määritysarvot paljastavat suojausriskin, ja näiden toimialueiden raportit, jotka auttavat sinua suojaamaan ympäristöäsi.

Mitä riskejä suojaamattomat toimialuemääritykset aiheuttavat?

Organisaatiot, jotka eivät pysty suojaamaan toimialuemäärityksiään, jättävät oven lukitsematta haitallisille toimijoille.

Pahantahtoiset näyttelijät, aivan kuten varkaat, etsivät usein helpointa ja hiljaisinta tietä mihin tahansa ympäristöön. Suojaamattomille määrityksille määritetyt toimialueet ovat hyökkääjille mahdollisuuksien ikkunoita, ja ne voivat paljastaa riskejä.

Jos esimerkiksi LDAP-allekirjoitusta ei valvota, hyökkääjä voi vaarantaa toimialuetilit. Tämä on erityisen riskialtista, jos tilillä on erityisoikeudet muihin resursseihin, kuten KrbRelayUp-hyökkäyksessä.

Ohjevalikko käyttää tätä suojausarviointia?

  1. Tutustu suositeltuun toimintoon osoitteessa https://security.microsoft.com/securescore?viewid=actions selvittääksesi, millä toimialueillasi on suojaamattomia määrityksiä. Tarkista eniten vaikuttavat entiteetit ja luo toimintasuunnitelma.
  2. Tee tarvittavat toimet näille toimialueille muokkaamalla tai poistamalla asianmukaisia määrityksiä.

Huomautus

Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.

Parannus

Käytä asianmukaisiin määrityksiin sopivaa korjausta seuraavassa taulukossa kuvatulla tavalla.

Suositeltu toiminto Parannus Syy
Pakota LDAP-allekirjoituskäytäntö vaatimaan allekirjoitusta Suosittelemme, että edellytät toimialueen ohjauskoneen tason LDAP-allekirjoittamista. Lisätietoja LDAP-palvelimen allekirjoittamisesta on artikkelissa Toimialueen ohjauskoneen LDAP-palvelimen allekirjoitusvaatimukset. Allekirjoittamaton verkkoliikenne on altis lähihyökkäyksille.
Aseta ms-DS-MachineAccountQuota-arvoksi "0" Määritä MS-DS-Machine-Account-Quota-määritteen arvoksi "0". Rajoittamalla muiden kuin etuoikeutettujen käyttäjien mahdollisuutta rekisteröidä laitteita toimialueella. Lisätietoja tästä ominaisuudesta ja siitä, miten se vaikuttaa laitteen rekisteröintiin, on kohdassa Oletusrajoitus työasemille, joita käyttäjä voi liittää toimialueeseen.

Katso myös