Поделиться через

оценка состояния безопасности Microsoft Defender для удостоверений

  • Статья

Как правило, организации всех размеров имеют ограниченный контроль над тем, могут ли их локальные приложения и службы привести к уязвимости безопасности для их организации. Проблема ограниченной видимости особенно связана с использованием неподдерживаемых или устаревших компонентов.

Хотя ваша компания может потратить значительное время и усилия на усиление защиты удостоверений и инфраструктуры удостоверений (например, Active Directory, Active Directory Connect) в качестве текущего проекта, легко не знать о распространенных неправильных конфигурациях и использовании устаревших компонентов, которые представляют собой один из самых больших рисков для вашей организации.

Исследование безопасности Майкрософт показывает, что большинство атак на идентификацию используют распространенные ошибки конфигурации в Active Directory и продолжают использовать устаревшие компоненты (такие как протокол NTLMv1) для компрометации удостоверений и успешного взлома вашей организации. Для эффективной борьбы с этим Microsoft Defender для удостоверений теперь предлагает упреждающие оценки состояния безопасности удостоверений для обнаружения и рекомендации действий в конфигурациях локальная служба Active Directory.

Что предоставляют оценки безопасности Defender для удостоверений?

Оценки состояния безопасности Defender для удостоверений доступны в Microsoft Secure Score и предоставляют следующие возможности:

  • Обнаружения и контекстные данные об известных эксплуатируемых компонентах и неправильных конфигурациях, а также соответствующие пути для исправления.

  • Активный мониторинг локальных удостоверений и инфраструктуры удостоверений, отслеживание слабых мест с помощью существующего датчика Defender для удостоверений.

  • Точные отчеты об оценке текущего состояния безопасности организации для быстрого реагирования и мониторинга эффектов в непрерывном цикле.

Оценка безопасности (Майкрософт) — это измерение состояния безопасности организации, при этом большее число указывает на более рекомендуемые действия. Его можно найти по адресу https://security.microsoft.com/securescore на портале Microsoft Defender.

Классификация оценок состояния безопасности Defender для удостоверений

Оценки состояния безопасности Defender для удостоверений имеют пять ключевых категорий. Каждая категория устраняет определенные риски безопасности удостоверений и предоставляет рекомендации по исправлению.

  • Гибридная безопасность. Определяет неправильные настройки в средах, которые интегрируют локальные (например, Active Directory) и облачные поставщики удостоверений (например, Entra ID, Okta). Оценивает риски, связанные с синхронизацией, проверкой подлинности и авторизацией на разных платформах.
  • Инфраструктура удостоверений. Обнаруживает неправильные настройки и уязвимости в основных компонентах удостоверений, включая контроллеры домена.
  • Сертификаты. Оценивает службы сертификатов Active Directory (AD CS) на наличие пробелов в безопасности, таких как неправильно настроенные шаблоны сертификатов или слабые параметры центра сертификации. Выявление и устранение этих проблем помогает предотвратить несанкционированный доступ, который может возникнуть из-за уязвимостей, связанных с сертификатами.
  • Групповая политика. Анализирует конфигурации групповая политика, чтобы определить параметры, которые могут разрешить повышение привилегий или несанкционированное боковое перемещение в сети. Обеспечение безопасности параметров групповая политика помогает поддерживать надлежащие элементы управления доступом и системные конфигурации.
  • Учетные записи. Проверяет пользователей, устройства и группы, чтобы определить риски безопасности, такие как слабые пароли, неактивные учетные записи или неправильные разрешения.

Оценки состояния безопасности в Защитнике доступа для удостоверений

Примечание.

Для просмотра оценок безопасности Defender для удостоверений в Microsoft Secure Score необходима лицензия Defender для удостоверений. Хотя оценки шаблонов сертификатов доступны всем клиентам, у которых в среде установлена служба сертификации ACTIVE CS, оценки центра сертификации доступны только для клиентов, которые установили датчик на сервере AD CS. Дополнительные сведения см. в разделе Настройка датчиков для AD FS и AD CS.

Чтобы получить доступ к оценке состояния безопасности удостоверений:

  1. Откройте панель мониторинга Оценки безопасности (Майкрософт).

  2. Перейдите на вкладку Рекомендуемые действия . Вы можете найти определенное рекомендуемое действие или отфильтровать результаты (например, по категории Удостоверение).

    Рекомендуемые действия.

  3. Для получения дополнительных сведений выберите оценку.

    Выберите оценку.

Примечание.

Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.

Дальнейшие действия