оценка состояния безопасности Microsoft Defender для удостоверений

Как правило, организации всех размеров имеют ограниченный контроль над тем, могут ли их локальные приложения и службы привести к уязвимости безопасности для их организации. Проблема ограниченной видимости особенно связана с использованием неподдерживаемых или устаревших компонентов.

Хотя ваша компания может потратить значительное время и усилия на усиление защиты удостоверений и инфраструктуры удостоверений (например, Active Directory, Active Directory Connect) в качестве текущего проекта, легко не знать о распространенных неправильных конфигурациях и использовании устаревших компонентов, которые представляют собой один из самых больших рисков для вашей организации.

Исследование безопасности Майкрософт показывает, что большинство атак на идентификацию используют распространенные ошибки конфигурации в Active Directory и продолжают использовать устаревшие компоненты (такие как протокол NTLMv1) для компрометации удостоверений и успешного взлома вашей организации. Для эффективной борьбы с этим Microsoft Defender для удостоверений теперь предлагает упреждающие оценки состояния безопасности удостоверений для обнаружения и рекомендации действий в конфигурациях локальная служба Active Directory.

Что предоставляют оценки безопасности Defender для удостоверений?

Оценки состояния безопасности Defender для удостоверений доступны в Microsoft Secure Score и предоставляют следующие возможности:

• Обнаружения и контекстные данные об известных эксплуатируемых компонентах и неправильных конфигурациях, а также соответствующие пути для исправления.

• Активный мониторинг локальных удостоверений и инфраструктуры удостоверений, отслеживание слабых мест с помощью существующего датчика Defender для удостоверений.

• Точные отчеты об оценке текущего состояния безопасности организации для быстрого реагирования и мониторинга эффектов в непрерывном цикле.

Оценка безопасности (Майкрософт) — это измерение состояния безопасности организации, при этом большее число указывает на более рекомендуемые действия. Его можно найти по адресу https://security.microsoft.com/securescore на портале Microsoft Defender.

Классификация оценок состояния безопасности Defender для удостоверений

Оценки состояния безопасности Defender для удостоверений имеют пять ключевых категорий. Каждая категория устраняет определенные риски безопасности удостоверений и предоставляет рекомендации по исправлению.

• Гибридная безопасность. Определяет неправильные настройки в средах, которые интегрируют локальные (например, Active Directory) и облачные поставщики удостоверений (например, Entra ID, Okta). Оценивает риски, связанные с синхронизацией, проверкой подлинности и авторизацией на разных платформах.
• Инфраструктура удостоверений. Обнаруживает неправильные настройки и уязвимости в основных компонентах удостоверений, включая контроллеры домена.
• Сертификаты. Оценивает службы сертификатов Active Directory (AD CS) на наличие пробелов в безопасности, таких как неправильно настроенные шаблоны сертификатов или слабые параметры центра сертификации. Выявление и устранение этих проблем помогает предотвратить несанкционированный доступ, который может возникнуть из-за уязвимостей, связанных с сертификатами.
• Групповая политика. Анализирует конфигурации групповая политика, чтобы определить параметры, которые могут разрешить повышение привилегий или несанкционированное боковое перемещение в сети. Обеспечение безопасности параметров групповая политика помогает поддерживать надлежащие элементы управления доступом и системные конфигурации.
• Учетные записи. Проверяет пользователей, устройства и группы, чтобы определить риски безопасности, такие как слабые пароли, неактивные учетные записи или неправильные разрешения.

Оценки состояния безопасности в Защитнике доступа для удостоверений

Примечание.

Для просмотра оценок безопасности Defender для удостоверений в Microsoft Secure Score необходима лицензия Defender для удостоверений.

Кроме того, несмотря на то, что оценки шаблонов сертификатов доступны всем клиентам, в среде которых установлена служба сертификации AD CS, оценки центра сертификации доступны только для клиентов, которые установили датчик на сервере AD CS.

Рекомендации по гибридной безопасности будут доступны только в том случае, если Microsoft Defender для удостоверений датчик установлен на серверах, на которых запущены службы Microsoft Entra Connect.

Дополнительные сведения см. в разделе Настройка датчиков для AD FS, AD CS и Entra Connect.

Чтобы получить доступ к оценке состояния безопасности удостоверений:

1. Откройте панель мониторинга Оценки безопасности (Майкрософт).

2. Перейдите на вкладку Рекомендуемые действия . Вы можете найти определенное рекомендуемое действие или отфильтровать результаты (например, по категории Удостоверение).

   

3. Для получения дополнительных сведений выберите оценку.

   

Примечание.

Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.

Дальнейшие действия

• Дополнительные сведения о оценке безопасности (Майкрософт)
• Посетите форум Defender для удостоверений!