安全性評估:不安全的網域設定
什麼是不安全的網域設定?
適用於身分識別的 Microsoft Defender 持續監視您的環境,以識別設定值公開安全性風險的網域,並報告這些網域以協助您保護環境。
不安全的網域設定會造成什麼風險?
無法保護其網域設定的組織,讓惡意執行者無法鎖定大門。
惡意演員,非常像竊賊,經常尋找最簡單和最安靜的方式進入任何環境。 以不安全設定的網域是攻擊者的機會視窗,而且可能會暴露風險。
例如,如果未強制執行LDAP簽署,攻擊者可能會危害網域帳戶。 如果帳戶有特殊許可權存取其他資源,就像 KrbRelayUp 攻擊一樣,這特別有風險。
如何? 使用此安全性評定嗎?
- 檢閱 的建議 https://security.microsoft.com/securescore?viewid=actions 動作,以探索哪些網域具有不安全的設定。
- 修改或移除相關的組態,對這些網域採取適當的動作。
注意
雖然評定會近乎即時地更新,但分數和狀態會每隔 24 小時更新一次。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間才能將其標示為 已完成。
補救
使用適用於相關設定的補救,如下表所述。
| 建議的動作 | 補救 | 原因 |
|---|---|---|
| 強制執行LDAP簽署原則以「需要簽署」 | 建議您要求域控制器層級LDAP簽署。 若要深入瞭解LDAP伺服器簽署,請參閱 域控制器LDAP伺服器簽署需求。 | 未簽署的網路流量容易受到中間人攻擊。 |
| 將 ms-DS-MachineAccountQuota 設定為 “0” | 將 MS-DS-Machine-Account-Quota 屬性設定為 “0”。 | 限制非特殊許可權用戶在網域中註冊裝置的能力。 如需此特定屬性及其影響裝置註冊方式的詳細資訊,請參閱 使用者可加入網域之工作站數目的預設限制。 |