Ocena zabezpieczeń: Niezabezpieczone konfiguracje domeny

Co to są niezabezpieczone konfiguracje domeny?

Microsoft Defender for Identity stale monitoruje środowisko, aby identyfikować domeny z wartościami konfiguracji, które narażają zagrożenie bezpieczeństwa, oraz raportuje te domeny, aby ułatwić ochronę środowiska.

Jakie ryzyko stwarzają niezabezpieczone konfiguracje domeny?

Organizacje, które nie zabezpieczają swoich konfiguracji domeny, pozostawiają drzwi odblokowane dla złośliwych aktorów.

Złośliwi aktorzy, podobnie jak złodzieje, często szukają najprostszego i najcichszego sposobu w dowolnym środowisku. Domeny skonfigurowane z niezabezpieczonymi konfiguracjami to okna możliwości dla osób atakujących i mogą narazić ryzyko.

Jeśli na przykład podpisywanie LDAP nie jest wymuszane, osoba atakująca może naruszyć konta domeny. Jest to szczególnie ryzykowne, jeśli konto ma uprzywilejowany dostęp do innych zasobów, tak jak w przypadku ataku KrbRelayUp.

Jak mogę użyć tej oceny zabezpieczeń?

1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby dowiedzieć się, które domeny mają niezabezpieczone konfiguracje.
2. Wykonaj odpowiednie działania w tych domenach, modyfikując lub usuwając odpowiednie konfiguracje.

Uwaga

Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Korygowania

Użyj korygowania odpowiedniego dla odpowiednich konfiguracji zgodnie z opisem w poniższej tabeli.

Zalecana akcja	Korygowania	Powód
Wymuszanie zasad podpisywania LDAP w celu "Wymagaj podpisania"	Zalecamy wymaganie podpisywania protokołu LDAP na poziomie kontrolera domeny. Aby dowiedzieć się więcej na temat podpisywania serwera LDAP, zobacz Wymagania dotyczące podpisywania serwera LDAP kontrolera domeny.	Niepodpisany ruch sieciowy jest podatny na ataki typu man-in-the-middle.
Ustaw wartość ms-DS-MachineAccountQuota na wartość "0"	Ustaw atrybut MS-DS-Machine-Account-Quota na wartość "0".	Ograniczanie możliwości rejestrowania urządzeń w domenie przez użytkowników nieuprzywilejowanej. Aby uzyskać więcej informacji na temat tej konkretnej właściwości i jej wpływu na rejestrację urządzenia, zobacz Domyślny limit liczby stacji roboczych, do których użytkownik może dołączyć do domeny.

Zobacz też

• Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft
• Zapoznaj się z forum Usługi Defender for Identity!