Dela via

Säkerhetsutvärdering: Osäkra domänkonfigurationer

  • Artikel

Vad är osäkra domänkonfigurationer?

Microsoft Defender for Identity övervakar kontinuerligt din miljö för att identifiera domäner med konfigurationsvärden som exponerar en säkerhetsrisk och rapporterar om dessa domäner för att hjälpa dig att skydda din miljö.

Vilken risk utgör oskyddade domänkonfigurationer?

Organisationer som inte kan skydda sina domänkonfigurationer lämnar dörren olåst för skadliga aktörer.

Illvilliga aktörer, precis som tjuvar, letar ofta efter den enklaste och tystaste vägen in i alla miljöer. Domäner som konfigurerats med osäkra konfigurationer är möjligheter för angripare och kan medföra risker.

Om till exempel LDAP-signering inte tillämpas kan en angripare kompromettera domänkonton. Detta är särskilt riskabelt om kontot har privilegierad åtkomst till andra resurser, som med KrbRelayUp-attacken.

Hur gör jag för att använda den här säkerhetsbedömningen?

  1. Granska den rekommenderade åtgärden på https://security.microsoft.com/securescore?viewid=actions för att identifiera vilka av dina domäner som har osäkra konfigurationer. Granska de mest påverkade entiteterna och skapa en åtgärdsplan.
  2. Vidta lämpliga åtgärder på dessa domäner genom att ändra eller ta bort relevanta konfigurationer.

Obs!

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över påverkade entiteter uppdateras inom några minuter efter att du implementerat rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.

Åtgärda

Använd den reparation som är lämplig för relevanta konfigurationer enligt beskrivningen i följande tabell.

Rekommenderad åtgärd Åtgärda Förnuft
Framtvinga LDAP-signeringsprincip till "Kräv signering" Vi rekommenderar att du kräver LDAP-signering på domänkontrollantnivå. Mer information om LDAP-serversignering finns i Domänkontrollant LDAP-serversigneringskrav. Osignerad nätverkstrafik är mottaglig för man-in-the-middle-attacker.
Ange ms-DS-MachineAccountQuota till "0" Ange attributet MS-DS-Machine-Account-Quota till "0". Begränsa möjligheten för icke-privilegierade användare att registrera enheter i domänen. Mer information om den här egenskapen och hur den påverkar enhetsregistrering finns i Standardgräns för antalet arbetsstationer som en användare kan ansluta till domänen.

Se även