Condividi tramite

Valutazione della sicurezza: configurazioni di dominio non sicure

  • Articolo

Che cosa sono le configurazioni di dominio non sicure?

Microsoft Defender per identità monitora continuamente l'ambiente per identificare i domini con valori di configurazione che espongono un rischio per la sicurezza e segnala questi domini per facilitare la protezione dell'ambiente.

Qual è il rischio rappresentato da configurazioni di dominio non sicure?

Le organizzazioni che non riescono a proteggere le configurazioni di dominio lasciano la porta aperta per gli attori malintenzionati.

Gli attori malintenzionati, proprio come i ladri, cercano spesso il modo più semplice e silenzioso in qualsiasi ambiente. I domini configurati con configurazioni non sicure sono finestre di opportunità per gli utenti malintenzionati e possono esporre rischi.

Ad esempio, se la firma LDAP non viene applicata, un utente malintenzionato può compromettere gli account di dominio. Ciò è particolarmente rischioso se l'account ha accesso con privilegi ad altre risorse, come con l'attacco KrbRelayUp.

Ricerca per categorie usare questa valutazione della sicurezza?

  1. Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per individuare quali domini hanno configurazioni non sicure. Esaminare le principali entità interessate e creare un piano d'azione.
  2. Eseguire le azioni appropriate in questi domini modificando o rimuovendo le configurazioni pertinenti.

Nota

Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Anche se l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.

Bonifica

Usare la correzione appropriata per le configurazioni pertinenti, come descritto nella tabella seguente.

Azione consigliata Bonifica Motivo
Applicare i criteri di firma LDAP a "Richiedi firma" È consigliabile richiedere la firma LDAP a livello di controller di dominio. Per altre informazioni sulla firma del server LDAP, vedere Requisiti di firma del server LDAP del controller di dominio. Il traffico di rete non firmato è soggetto ad attacchi man-in-the-middle.
Impostare ms-DS-MachineAccountQuota su "0" Impostare l'attributo MS-DS-Machine-Account-Quota su "0". Limitazione della capacità degli utenti senza privilegi di registrare i dispositivi nel dominio. Per altre informazioni su questa particolare proprietà e su come influisce sulla registrazione del dispositivo, vedere Limite predefinito al numero di workstation a cui un utente può accedere al dominio.

Vedere anche