보안 평가: 안전하지 않은 도메인 구성

안전하지 않은 도메인 구성이란?

Microsoft Defender for Identity 환경을 지속적으로 모니터링하여 보안 위험을 노출하는 구성 값이 있는 도메인을 식별하고 이러한 도메인에 대해 보고하여 환경을 보호하는 데 도움을 줍니다.

안전하지 않은 도메인 구성은 어떤 위험을 초래합니까?

도메인 구성을 보호하지 못하는 조직은 악의적인 행위자를 위해 문을 열어 둡니다.

악의적인 행위자는 도둑과 마찬가지로 어떤 환경에서도 가장 쉽고 조용한 방법을 찾는 경우가 많습니다. 안전하지 않은 구성으로 구성된 도메인은 공격자에게 기회의 창이며 위험을 노출할 수 있습니다.

예를 들어 LDAP 서명이 적용되지 않으면 공격자가 도메인 계정을 손상시킬 수 있습니다. 이는 계정에 KrbRelayUp 공격과 마찬가지로 다른 리소스에 대한 권한 있는 액세스 권한이 있는 경우 특히 위험합니다.

이 보안 평가를 사용할 어떻게 할까요? 있나요?

1. 에서 https://security.microsoft.com/securescore?viewid=actions 권장되는 작업을 검토하여 안전하지 않은 구성이 있는 도메인을 검색합니다.
2. 관련 구성을 수정하거나 제거하여 이러한 도메인에 대해 적절한 조치를 취합니다.

참고

평가는 거의 실시간으로 업데이트되지만 점수와 상태는 24시간마다 업데이트됩니다. 영향을 받은 엔터티 목록은 권장 사항을 구현한 후 몇 분 이내에 업데이트되지만 상태 완료됨으로 표시될 때까지 시간이 걸릴 수 있습니다.

수정

다음 표에 설명된 대로 관련 구성에 적합한 수정을 사용합니다.

권장 작업	수정	이유
"서명 필요"에 LDAP 서명 정책 적용	도메인 컨트롤러 수준 LDAP 서명이 필요한 것이 좋습니다. LDAP 서버 서명에 대한 자세한 내용은 도메인 컨트롤러 LDAP 서버 서명 요구 사항을 참조하세요.	서명되지 않은 네트워크 트래픽은 중간에서의 공격에 취약합니다.
ms-DS-MachineAccountQuota를 "0"으로 설정	MS-DS-Machine-Account-Quota 특성을 "0"으로 설정합니다.	권한이 없는 사용자가 도메인에 디바이스를 등록하는 기능을 제한합니다. 이 특정 속성 및 디바이스 등록에 미치는 영향에 대한 자세한 내용은 사용자가 도메인에 가입할 수 있는 워크스테이션 수에 대한 기본 제한을 참조하세요.

참고 항목

• Microsoft 보안 점수에 대해 자세히 알아보기
• Defender for Identity 포럼을 확인하세요!