Avaliação de segurança: Configurações de domínio não seguras
O que são configurações de domínio não seguras?
Microsoft Defender para Identidade monitoriza continuamente o seu ambiente para identificar domínios com valores de configurações que expõem um risco de segurança e relatórios sobre estes domínios para o ajudar a proteger o seu ambiente.
Que risco representam as configurações de domínio não seguras?
As organizações que não conseguem proteger as configurações de domínio deixam a porta desbloqueada para atores maliciosos.
Os atores maliciosos, tal como os ladrões, procuram frequentemente a forma mais fácil e silenciosa de entrar em qualquer ambiente. Os domínios configurados com configurações não seguras são janelas de oportunidade para os atacantes e podem expor riscos.
Por exemplo, se a assinatura LDAP não for imposta, um atacante pode comprometer as contas de domínio. Isto é especialmente arriscado se a conta tiver acesso privilegiado a outros recursos, tal como acontece com o ataque KrbRelayUp.
Como devo proceder para utilizar esta avaliação de segurança?
- Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais dos seus domínios têm configurações não seguras.
- Tome as medidas adequadas nestes domínios ao modificar ou remover as configurações relevantes.
Nota
Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, o estado ainda pode demorar algum tempo até estar marcado como Concluído.
Remediação
Utilize a remediação adequada às configurações relevantes, conforme descrito na tabela seguinte.
| Ação recomendada | Remediação | Motivo |
|---|---|---|
| Impor a política de Assinatura LDAP a "Exigir assinatura" | Recomendamos que necessite de assinatura LDAP ao nível do controlador de domínio. Para saber mais sobre a assinatura do servidor LDAP, veja Requisitos de assinatura do servidor LDAP do controlador de domínio. | O tráfego de rede não assinado é suscetível a ataques man-in-the-middle. |
| Defina ms-DS-MachineAccountQuota como "0" | Defina o atributo MS-DS-Machine-Account-Quota como "0". | Limitar a capacidade de os utilizadores não privilegiados registarem dispositivos no domínio. Para obter mais informações sobre esta propriedade específica e como afeta o registo de dispositivos, veja Limite predefinido para o número de estações de trabalho que um utilizador pode associar ao domínio. |