تقييم الأمان: تكوينات المجال غير آمنة

ما هي تكوينات المجال غير آمنة؟

تراقب Microsoft Defender for Identity بيئتك باستمرار لتحديد المجالات ذات قيم التكوينات التي تعرض مخاطر الأمان، وتقارير عن هذه المجالات لمساعدتك في حماية بيئتك.

ما هي المخاطر التي تشكلها تكوينات المجال غير آمنة؟

تترك المؤسسات التي تفشل في تأمين تكوينات المجال الخاصة بها الباب مفتوحا للجهات الفاعلة الضارة.

غالبا ما يبحث المستخدمون الضارون، مثل اللصوص، عن أسهل وأهدأ طريقة في أي بيئة. المجالات التي تم تكوينها بتكوينات غير آمنة هي نوافذ فرصة للمهاجمين ويمكن أن تعرض المخاطر.

على سبيل المثال، إذا لم يتم فرض توقيع LDAP، يمكن للمهاجم اختراق حسابات المجال. هذا محفوف بالمخاطر بشكل خاص إذا كان الحساب لديه حق وصول متميز إلى موارد أخرى، كما هو الحال مع هجوم KrbRelayUp.

كيف أعمل استخدام تقييم الأمان هذا؟

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لاكتشاف أي من المجالات الخاصة بك لديها تكوينات غير آمنة. راجع أهم الكيانات المتأثرة وأنشئ خطة عمل.
  2. اتخذ الإجراء المناسب على هذه المجالات عن طريق تعديل التكوينات ذات الصلة أو إزالتها.

ملاحظة

بينما يتم تحديث التقييمات في الوقت الفعلي تقريبا، يتم تحديث الدرجات والحالات كل 24 ساعة. بينما يتم تحديث قائمة الكيانات المتأثرة في غضون بضع دقائق من تنفيذ التوصيات، قد تستغرق الحالة وقتا حتى يتم وضع علامة عليها على أنها مكتملة.

الاصلاح

استخدم المعالجة المناسبة للتكوينات ذات الصلة كما هو موضح في الجدول التالي.

الإجراء الموصى به الاصلاح سبب
فرض نهج توقيع LDAP على "طلب التوقيع" نوصيك بمطالبة توقيع LDAP على مستوى وحدة التحكم بالمجال. لمعرفة المزيد حول توقيع خادم LDAP، راجع متطلبات توقيع خادم LDAP لوحدة التحكم بالمجال. نسبة استخدام الشبكة غير الموقعة عرضة لهجمات الرجل في الوسط.
تعيين ms-DS-MachineAccountQuota إلى "0" قم بتعيين السمة MS-DS-Machine-Account-Quota إلى "0". الحد من قدرة المستخدمين غير المميزين على تسجيل الأجهزة في المجال. لمزيد من المعلومات حول هذه الخاصية المحددة وكيفية تأثيرها على تسجيل الجهاز، راجع الحد الافتراضي لعدد محطات العمل التي يمكن للمستخدم الانضمام إلى المجال.

انظر أيضاً