Поделиться через

Оценка безопасности: небезопасные конфигурации домена

  • Статья

Что такое небезопасные конфигурации домена?

Microsoft Defender для удостоверений постоянно отслеживает среду, чтобы определить домены со значениями конфигураций, которые подвергаются риску безопасности, и отчеты об этих доменах, чтобы помочь вам защитить среду.

Какой риск представляют небезопасные конфигурации домена?

Организации, которые не могут защитить свои конфигурации домена, оставляют дверь разблокирована для злоумышленников.

Злонамеренные актеры, как и воры, часто ищут самый простой и тихий путь в любую среду. Домены, настроенные с небезопасными конфигурациями, являются окнами возможностей для злоумышленников и могут подвергать риску.

Например, если подписывание LDAP не применяется, злоумышленник может взломать учетные записи домена. Это особенно опасно, если учетная запись имеет привилегированный доступ к другим ресурсам, как при атаке KrbRelayUp.

Разделы справки использовать эту оценку безопасности?

  1. Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какой из ваших доменов имеет небезопасные конфигурации. Просмотрите наиболее затронутые сущности и создайте план действий.
  2. Выполните соответствующие действия в этих доменах, изменив или удалив соответствующие конфигурации.

Примечание.

Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.

Исправление

Используйте исправление, соответствующее соответствующим конфигурациям, как описано в следующей таблице.

Рекомендуемое действие Исправление Reason
Принудительное применение политики подписывания LDAP для параметра "Требовать подписывание" Рекомендуется требовать подписывание LDAP на уровне контроллера домена. Дополнительные сведения о подписывание сервера LDAP см. в статье Требования к подписыванию ldap-сервера контроллера домена. Неподписанный сетевой трафик подвержен атакам "злоумышленник в середине".
Задайте для ms-DS-MachineAccountQuota значение "0" Задайте для атрибута MS-DS-Machine-Account-Quota значение 0. Ограничение возможности пользователей, не являющихся привилегированными, регистрировать устройства в домене. Дополнительные сведения об этом свойстве и его влияние на регистрацию устройств см. в статье Ограничение по умолчанию на количество рабочих станций, которые пользователь может присоединить к домену.

См. также