Beveiligingsevaluatie: Onveilige domeinconfiguraties

Wat zijn onveilige domeinconfiguraties?

Microsoft Defender for Identity controleert uw omgeving continu om domeinen te identificeren met configuratiewaarden die een beveiligingsrisico blootstellen, en rapporteert over deze domeinen om u te helpen uw omgeving te beschermen.

Welk risico vormen onveilige domeinconfiguraties?

Organisaties die hun domeinconfiguraties niet kunnen beveiligen, laten de deur ontgrendeld voor kwaadwillende actoren.

Kwaadwillende actoren, net als dieven, zoeken vaak naar de eenvoudigste en stilste manier in elke omgeving. Domeinen die zijn geconfigureerd met onveilige configuraties zijn kansen voor aanvallers en kunnen risico's blootstellen.

Als LDAP-ondertekening bijvoorbeeld niet wordt afgedwongen, kan een aanvaller domeinaccounts in gevaar komen. Dit is met name riskant als het account bevoorrechte toegang heeft tot andere resources, zoals bij de KrbRelayUp-aanval.

Hoe kan ik deze beveiligingsevaluatie gebruiken?

1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions om te ontdekken welke van uw domeinen onveilige configuraties hebben.
2. Neem de juiste actie op deze domeinen door de relevante configuraties te wijzigen of te verwijderen.

Opmerking

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen enkele minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren totdat deze is gemarkeerd als Voltooid.

Herstellen

Gebruik het herstel dat geschikt is voor de relevante configuraties, zoals beschreven in de volgende tabel.

Aanbevolen actie	Herstellen	Reden
LDAP-ondertekeningsbeleid afdwingen naar 'Ondertekening vereisen'	U wordt aangeraden LDAP-ondertekening op domeincontrollerniveau te vereisen. Zie Vereisten voor ondertekening van LDAP-server voor domeincontrollers voor meer informatie over ondertekening van LDAP-servers.	Niet-ondertekend netwerkverkeer is vatbaar voor man-in-the-middle-aanvallen.
Stel ms-DS-MachineAccountQuota in op '0'	Stel het kenmerk MS-DS-Machine-Account-Quota in op '0'.	De mogelijkheid van niet-bevoegde gebruikers beperken om apparaten in het domein te registreren. Zie Standaardlimiet voor het aantal werkstations dat een gebruiker aan het domein kan toevoegen voor meer informatie over deze specifieke eigenschap en hoe deze van invloed is op apparaatregistratie.

Zie ook

• Meer informatie over Microsoft Secure Score
• Bekijk het Defender for Identity-forum.