оценка состояния безопасности Microsoft Defender для удостоверений
Как правило, организации всех размеров имеют ограниченный контроль над тем, могут ли их локальные приложения и службы привести к уязвимости безопасности для их организации. Проблема ограниченной видимости особенно связана с использованием неподдерживаемых или устаревших компонентов.
Хотя ваша компания может потратить значительное время и усилия на усиление защиты удостоверений и инфраструктуры удостоверений (например, Active Directory, Active Directory Connect) в качестве текущего проекта, легко не знать о распространенных неправильных конфигурациях и использовании устаревших компонентов, которые представляют собой один из самых больших рисков для вашей организации.
Исследование безопасности Майкрософт показывает, что большинство атак на идентификацию используют распространенные ошибки конфигурации в Active Directory и продолжают использовать устаревшие компоненты (такие как протокол NTLMv1) для компрометации удостоверений и успешного взлома вашей организации. Для эффективной борьбы с этим Microsoft Defender для удостоверений теперь предлагает упреждающие оценки состояния безопасности удостоверений для обнаружения и рекомендации действий в конфигурациях локальная служба Active Directory.
Что предоставляют оценки безопасности Defender для удостоверений?
Оценки состояния безопасности Defender для удостоверений доступны в Microsoft Secure Score и предоставляют следующие возможности:
Обнаружения и контекстные данные об известных эксплуатируемых компонентах и неправильных конфигурациях, а также соответствующие пути для исправления.
Активный мониторинг локальных удостоверений и инфраструктуры удостоверений, отслеживание слабых мест с помощью существующего датчика Defender для удостоверений.
Точные отчеты об оценке текущего состояния безопасности организации для быстрого реагирования и мониторинга эффектов в непрерывном цикле.
Оценка безопасности (Майкрософт) — это измерение состояния безопасности организации, при этом большее число указывает на более рекомендуемые действия. Его можно найти по адресу https://security.microsoft.com/securescore на портале Microsoft Defender.
Классификация оценок состояния безопасности Defender для удостоверений
Оценки состояния безопасности Defender для удостоверений имеют пять ключевых категорий. Каждая категория устраняет определенные риски безопасности удостоверений и предоставляет рекомендации по исправлению.
- Гибридная безопасность. Определяет неправильные настройки в средах, которые интегрируют локальные (например, Active Directory) и облачные поставщики удостоверений (например, Entra ID, Okta). Оценивает риски, связанные с синхронизацией, проверкой подлинности и авторизацией на разных платформах.
- Инфраструктура удостоверений. Обнаруживает неправильные настройки и уязвимости в основных компонентах удостоверений, включая контроллеры домена.
- Сертификаты. Оценивает службы сертификатов Active Directory (AD CS) на наличие пробелов в безопасности, таких как неправильно настроенные шаблоны сертификатов или слабые параметры центра сертификации. Выявление и устранение этих проблем помогает предотвратить несанкционированный доступ, который может возникнуть из-за уязвимостей, связанных с сертификатами.
- Групповая политика. Анализирует конфигурации групповая политика, чтобы определить параметры, которые могут разрешить повышение привилегий или несанкционированное боковое перемещение в сети. Обеспечение безопасности параметров групповая политика помогает поддерживать надлежащие элементы управления доступом и системные конфигурации.
- Учетные записи. Проверяет пользователей, устройства и группы, чтобы определить риски безопасности, такие как слабые пароли, неактивные учетные записи или неправильные разрешения.
Оценки состояния безопасности в Защитнике доступа для удостоверений
Примечание.
Для просмотра оценок безопасности Defender для удостоверений в Microsoft Secure Score необходима лицензия Defender для удостоверений. Хотя оценки шаблонов сертификатов доступны всем клиентам, у которых в среде установлена служба сертификации ACTIVE CS, оценки центра сертификации доступны только для клиентов, которые установили датчик на сервере AD CS. Дополнительные сведения см. в разделе Настройка датчиков для AD FS и AD CS.
Чтобы получить доступ к оценке состояния безопасности удостоверений:
Откройте панель мониторинга Оценки безопасности (Майкрософт).
Перейдите на вкладку Рекомендуемые действия . Вы можете найти определенное рекомендуемое действие или отфильтровать результаты (например, по категории Удостоверение).
Для получения дополнительных сведений выберите оценку.
Примечание.
Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.