مشاركة عبر

تقييمات أمان البنية الأساسية للهوية

تعرف على Microsoft Defender لتقييمات وضع أمان الهوية للبنية الأساسية للهوية.

ملاحظة

بينما يتم تحديث التقييمات في الوقت الفعلي تقريبا، يتم تحديث الدرجات والحالات كل 24 ساعة. بينما يتم تحديث قائمة الكيانات المتأثرة في غضون بضع دقائق من تنفيذ التوصيات، قد تستغرق الحالة وقتا حتى يتم وضع علامة عليها على أنها مكتملة.

تم تمكين حساب Active Directory Guest المضمن

الوصف

تشير هذه التوصية إلى ما إذا كان حساب AD Guest ممكنا في بيئتك.
الهدف هو التأكد من عدم تمكين حساب الضيف للمجال. 

تأثير المستخدم

حساب Guest المحلي هو حساب مضمن غير ترشيحي يسمح بالوصول المجهول إلى Active Directory. يسمح تمكين هذا الحساب بالوصول إلى المجال دون الحاجة إلى كلمة مرور، مما قد يشكل تهديدا أمنيا.

تنفيذ

  1. راجع قائمة الكيانات المكشوفة لاكتشاف ما إذا كان هناك حساب Guest، والذي تم تمكينه.

  2. اتخذ الإجراء المناسب على هذه الحسابات عن طريق تعطيل الحساب.

    على سبيل المثال:

    لقطة شاشة تعرض خصائص الضيف.

    لقطة شاشة تعرض تمكين حساب Active Directory المضمن.

تغيير كلمة المرور القديمة لحساب كمبيوتر وحدة التحكم بالمجال

الوصف

تسرد هذه التوصية جميع حسابات الكمبيوتر الخاصة بوحدة التحكم بالمجال مع آخر تعيين لكلمة المرور منذ أكثر من 45 يوما.

وحدة التحكم بالمجال (DC) هي خادم في بيئة Active Directory (AD) تدير مصادقة المستخدم وتخويله، وتفرض نهج الأمان، وتخزن قاعدة بيانات AD. يعالج عمليات تسجيل الدخول، ويتحقق من الأذونات، ويضمن الوصول الآمن إلى موارد الشبكة. توفر DCs المتعددة التكرار لقابلية الوصول العالية.
وحدات التحكم بالمجال مع كلمات المرور القديمة معرضة بشكل متزايد لخطر الاختراق ويمكن الاستيلاء عليها بسهولة أكبر. يمكن للمهاجمين استغلال كلمات المرور القديمة، والحصول على وصول طويل إلى الموارد الهامة وإضعاف أمان الشبكة. قد يشير إلى وحدة تحكم مجال لم تعد تعمل في المجال.

تنفيذ

  1. تحقق من قيم التسجيل:

    • تم تعيين HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange إلى 0 أو غير موجود. 

    • تم تعيين HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge إلى 30. 

  2. إعادة تعيين القيم غير الصحيحة:

    • إعادة تعيين أي قيم غير صحيحة إلى إعداداتها الافتراضية. 
    • تحقق نهج المجموعة Objects (GPOs) للتأكد من أنها لا تتجاوز هذه الإعدادات. 

  3. إذا كانت هذه القيم صحيحة، فتحقق مما إذا كانت خدمة NETLOGON قد بدأت مع sc.exe الاستعلام netlogon. 

  4. التحقق من صحة مزامنة كلمة المرور عن طريق تشغيل nltest /SC_VERIFY: (مع كون DomainName هو اسم NetBIOS للمجال) يمكنه التحقق من حالة المزامنة ويجب أن يعرض 0 0x0 NERR_Success لكلا التحققين.

تلميح

لمزيد من المعلومات حول عملية كلمة مرور حساب الكمبيوتر، تحقق من منشور المدونة هذا حول عملية كلمة مرور حسابات الجهاز.

تعطيل خدمة التخزين المؤقت للطباعة على وحدات التحكم بالمجال

الوصف

التخزين المؤقت للطباعة هي خدمة برامج تدير عمليات الطباعة. يقبل spooler مهام الطباعة من أجهزة الكمبيوتر ويتأكد من توفر موارد الطابعة. يقوم المخزن المؤقت أيضا بجدولة الترتيب الذي يتم به إرسال مهام الطباعة إلى قائمة انتظار الطباعة للطباعة. في الأيام الأولى لأجهزة الكمبيوتر الشخصية، كان على المستخدمين الانتظار حتى تتم طباعة الملفات قبل تنفيذ إجراءات أخرى. بفضل مخادعات الطباعة الحديثة، فإن الطباعة الآن لها تأثير ضئيل على الإنتاجية الإجمالية للمستخدم.

على الرغم من أنه يبدو غير ضار، يمكن لأي مستخدم مصادق عليه الاتصال عن بعد بخدمة التخزين المؤقت للطباعة لوحدة التحكم بالمجال، وطلب تحديث على مهام الطباعة الجديدة. أيضا، يمكن للمستخدمين إخبار وحدة التحكم بالمجال بإرسال الإعلام إلى النظام بتفويض غير مقيد. تختبر هذه الإجراءات الاتصال وتعرض بيانات اعتماد حساب الكمبيوتر لوحدة التحكم بالمجال (التخزين المؤقت للطباعة مملوك من قبل SYSTEM).

نظرا لإمكانية التعرض، تحتاج وحدات التحكم بالمجال وأنظمة مسؤول Active Directory إلى تعطيل خدمة التخزين المؤقت للطباعة . الطريقة الموصى بها للقيام بذلك هي استخدام عنصر نهج المجموعة (GPO).

بينما يركز تقييم الأمان هذا على وحدات التحكم بالمجال، فمن المحتمل أن يكون أي خادم في خطر على هذا النوع من الهجوم.

تنفيذ

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لاكتشاف أي من وحدات التحكم بالمجال لديك قد تم تمكين خدمة التخزين المؤقت للطباعة .

    لقطة شاشة تعرض قائمة بالكيانات المكشوفة التي تقوم بتشغيل خدمة تخزين مؤقت للطباعة.

  2. اتخذ الإجراء المناسب على وحدات التحكم بالمجال المعرضة للخطر وقم بإزالة خدمة التخزين المؤقت للطباعة بشكل نشط إما يدويا، من خلال عنصر نهج المجموعة أو أنواع أخرى من الأوامر البعيدة.

  3. نظرا لإمكانية التعرض، تحتاج وحدات التحكم بالمجال وأنظمة مسؤول Active Directory إلى تعطيل خدمة التخزين المؤقت للطباعة . قم بإصلاح هذه المشكلة المحددة عن طريق تعطيل خدمة Print Spooler على جميع الخوادم التي لا تتطلبها.

ملاحظة

  • تأكد من التحقق من إعدادات التخزين المؤقت للطباعة والتكوينات والتبعيات قبل تعطيل هذه الخدمة ومنع مهام سير عمل الطباعة النشطة.
  • يضيف دور وحدة التحكم بالمجال مؤشر ترابط إلى خدمة spooler المسؤولة عن إجراء تقليم الطباعة - إزالة عناصر قائمة انتظار الطباعة القديمة من Active Directory. لذلك، توصية الأمان لتعطيل خدمة التخزين المؤقت للطباعة هي مفاضلة بين الأمان والقدرة على إجراء تقليم الطباعة. لمعالجة المشكلة، يجب أن تفكر في تقليم عناصر قائمة انتظار الطباعة القديمة بشكل دوري.

إزالة المسؤولين المحليين على أصول الهوية

الوصف

تتمتع الحسابات ذات التحكم غير المباشر في نظام الهوية، مثل AD FS وAD CS وActive Directory وما إلى ذلك، بحقوق تصعيد امتيازاتها داخل البيئة، ما قد يؤدي إلى الحصول على المجال مسؤول الوصول أو ما يعادله.

كل مسؤول محلي على نظام Tier-0 هو مسؤول مجال غير مباشر من وجهة نظر المهاجم.

تنفيذ

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actionsلإزالة المسؤولين المحليين على أصول الهوية.

    على سبيل المثال:

    لقطة شاشة تعرض الإجراء الموصى به لإزالة المسؤولين المحليين على أصول الهوية.

  2. راجع قائمة الكيانات المكشوفة هذه لاكتشاف أي من حساباتك لها حقوق المسؤول المحلي على أصول الهوية الخاصة بك.

  3. اتخذ الإجراء المناسب بشأن هذه الكيانات عن طريق إزالة حقوق الوصول المميزة الخاصة بها.

  4. لتحقيق درجة كاملة، يجب معالجة جميع الكيانات المكشوفة.

وحدات التحكم بالمجال غير الخاضعة للمراقبة

الوصف

يتطلب جزء أساسي من Microsoft Defender لحل الهوية نشر أدوات الاستشعار الخاصة به على جميع وحدات التحكم بالمجال التنظيمية، ما يوفر عرضا شاملا لجميع أنشطة المستخدم من كل جهاز.

لهذا السبب، يراقب Defender for Identity بيئتك باستمرار لتحديد وحدات التحكم بالمجال دون مستشعر Defender for Identity مثبت، ويبلغ عن هذه الخوادم غير الخاضعة للمراقبة لمساعدتك في إدارة التغطية الكاملة لبيئتك.

من أجل العمل بأقصى قدر من الكفاءة، يجب مراقبة جميع وحدات التحكم بالمجال باستخدام مستشعرات Defender for Identity. المؤسسات التي تفشل في معالجة وحدات التحكم بالمجال غير الخاضعة للمراقبة، وتقليل الرؤية في بيئتها، ومن المحتمل أن تعرض أصولها للجهات الفاعلة الضارة.

تنفيذ

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لاكتشاف أي من وحدات التحكم بالمجال غير مراقب.

    لقطة شاشة تعرض وحدات التحكم بالمجال غير الخاضعة للمراقبة.

  2. اتخذ الإجراء المناسب على وحدات التحكم بالمجال هذه عن طريق تثبيت مستشعرات المراقبة وتكوينها.

خوادم ADCS غير الخاضعة للمراقبة

الوصف

تشكل خوادم خدمات شهادات Active Directory (AD CS) غير الخاضعة للمراقبة خطرا كبيرا على البنية الأساسية للهوية في مؤسستك. AD CS، العمود الفقري لإصدار الشهادات والثقة، هو هدف عالي القيمة للمهاجمين الذين يهدفون إلى تصعيد الامتيازات أو تزوير بيانات الاعتماد. بدون المراقبة المناسبة، يمكن للمهاجمين استغلال هذه الخوادم لإصدار شهادات غير مصرح بها، ما يتيح الحركة الجانبية الخفية والوصول المستمر. انشر Microsoft Defender لمستشعرات إصدار الهوية 2.0 على جميع خوادم AD CS للتخفيف من هذا الخطر. توفر أجهزة الاستشعار هذه رؤية في الوقت الحقيقي للنشاط المشبوه، وتكشف عن التهديدات المتقدمة، وتنشئ تنبيهات قابلة للتنفيذ استنادا إلى أحداث الأمان وسلوك الشبكة.

تنفيذ

ملاحظة

يتوفر تقييم الأمان هذا فقط إذا اكتشف Microsoft Defender لنقطة النهاية خوادم ADCS المؤهلة في البيئة. في بعض الحالات، قد لا يتم تحديد الخوادم التي تقوم بتشغيل ADCS بالدور المطلوب وبالتالي لن تظهر في هذا التقييم، حتى لو كانت موجودة في البيئة.

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لاكتشاف أي من خوادم AD CS غير مراقب.

    لقطة شاشة تعرض الإجراءات الموصى بها لخادم AD CS غير مراقب.

  2. انتقل إلى مدخل > Microsoft Defender Settings > Identities > Sensors. يمكنك عرض أدوات الاستشعار المثبتة بالفعل في بيئتك وتنزيل حزمة التثبيت لتوزيعها على الخوادم المتبقية.

  3. اتخذ الإجراء المناسب على هذه الخوادم عن طريق تكوين أدوات استشعار المراقبة.

خوادم ADFS غير الخاضعة للمراقبة

توضح هذه المقالة Microsoft Defender لتقرير تقييم وضع الأمان لخوادم خدمات الأمان المشترك لـ Active Directory غير الخاضعة للمراقبة (ADFS) للهوية.

الوصف

تعد خوادم خدمات الأمان المشترك لـ Active Directory غير الخاضعة للمراقبة (ADFS) خطرا أمنيا كبيرا على المؤسسات. يتحكم ADFS في الوصول إلى كل من الموارد السحابية والمحلية كبوابة للمصادقة الموحدة وتسجيل الدخول الأحادي. إذا قام المهاجمون باختراق خادم ADFS، يمكنهم إصدار رموز مميزة مزورة وانتحال شخصية أي مستخدم، بما في ذلك الحسابات المميزة. قد تتجاوز هذه الهجمات المصادقة متعددة العوامل (MFA) والوصول المشروط وعناصر التحكم الأخرى في أمان انتقال البيانات من الخادم، ما يجعلها خطيرة بشكل خاص. بدون المراقبة المناسبة، قد لا يتم الكشف عن النشاط المشبوه على خوادم ADFS لفترات طويلة. يعد نشر Microsoft Defender لمستشعرات إصدار الهوية 2.0 على خوادم ADFS أمرا ضروريا. تتيح أجهزة الاستشعار هذه الكشف في الوقت الحقيقي عن السلوك المشبوه وتساعد في منع تزوير الرمز المميز وإساءة استخدام علاقات الثقة والحركة الجانبية الخفية داخل البيئة.

تنفيذ

ملاحظة

يتوفر تقييم الأمان هذا فقط إذا اكتشف Microsoft Defender لنقطة النهاية خوادم ADFS المؤهلة في البيئة. في بعض الحالات، قد لا يتم تعريف الخوادم التي تقوم بتشغيل ADFS بالدور المطلوب وبالتالي لن تظهر في هذا التقييم، حتى لو كانت موجودة في البيئة.

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لاكتشاف أي من خوادم ADFS غير مراقب.

    لقطة شاشة تعرض الإجراءات الموصى بها لخادم ADFS غير مراقب.

  2. انتقل إلى مدخل > Microsoft Defender Settings > Identities > Sensors. يمكنك عرض أدوات الاستشعار المثبتة بالفعل في بيئتك وتنزيل حزمة التثبيت لتوزيعها على الخوادم المتبقية.

  3. اتخذ الإجراء المناسب على هذه الخوادم عن طريق تكوين أدوات استشعار المراقبة.

خوادم Microsoft Entra Connect غير الخاضعة للمراقبة

الوصف

تشكل خوادم Microsoft Entra Connect غير الخاضعة للمراقبة (Azure AD Connect سابقا) خطرا أمنيا كبيرا في بيئات الهوية المختلطة. تعمل هذه الخوادم على مزامنة الهويات بين Active Directory محلي Entra ID. يمكنهم تقديم الحسابات والسمات التي تؤثر مباشرة على الوصول إلى السحابة أو تعديلها أو إزالتها.

إذا قام المهاجم باختراق خادم Microsoft Entra Connect، فيمكنه إدخال مسؤولي الظل أو معالجة عضويات المجموعة أو مزامنة التغييرات الضارة في السحابة دون تشغيل التنبيهات التقليدية.

تعمل هذه الخوادم عند تقاطع الهوية المحلية والسحابية، ما يجعلها هدفا رئيسيا لتصعيد الامتيازات والمثابرة الشبح. بدون مراقبة، يمكن أن تمر هذه الهجمات دون الكشف. يعد نشر أجهزة استشعار Microsoft Defender للإصدار 2.0 من الهوية على خوادم Microsoft Entra Connect أمرا بالغ الأهمية. تساعد أجهزة الاستشعار هذه في اكتشاف النشاط المشبوه في الوقت الحقيقي، وحماية تكامل جسر الهوية المختلطة، ومنع اختراق المجال الكامل من نقطة فشل واحدة.

تنفيذ

ملاحظة

يتوفر تقييم الأمان هذا فقط إذا اكتشف Microsoft Defender لنقطة النهاية خوادم Microsoft Entra Connect المؤهلة في البيئة. في بعض الحالات، قد لا يتم تعريف الخوادم التي تقوم بتشغيل Entra Connect بالدور المطلوب وبالتالي لن تظهر في هذا التقييم، حتى لو كانت موجودة في البيئة.

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لاكتشاف أي من خوادم Microsoft Entra Connect غير مراقب.

    لقطة شاشة تعرض الإجراءات الموصى بها لخادم Entra Connect غير مراقب.

  2. انتقل إلى مدخل > Microsoft Defender Settings > Identities > Sensors. يمكنك عرض أدوات الاستشعار المثبتة بالفعل في بيئتك وتنزيل حزمة التثبيت لتوزيعها على الخوادم المتبقية.

  3. اتخذ الإجراء المناسب على هذه الخوادم عن طريق تكوين أدوات استشعار المراقبة.

حل تكوينات المجال غير آمنة

الوصف

يراقب Microsoft Defender للهوية بيئتك باستمرار لتحديد المجالات ذات قيم التكوينات التي تعرض مخاطر الأمان، وتقارير حول هذه المجالات لمساعدتك في حماية بيئتك.

تترك المؤسسات التي تفشل في تأمين تكوينات المجال الخاصة بها الباب مفتوحا للجهات الفاعلة الضارة.

غالبا ما يبحث المستخدمون الضارون، مثل اللصوص، عن أسهل وأهدأ طريقة في أي بيئة. المجالات التي تم تكوينها بتكوينات غير آمنة هي نوافذ فرصة للمهاجمين ويمكن أن تعرض المخاطر.

على سبيل المثال، إذا لم يتم فرض توقيع LDAP، يمكن للمهاجم اختراق حسابات المجال. هذا محفوف بالمخاطر بشكل خاص إذا كان الحساب لديه حق وصول متميز إلى موارد أخرى، كما هو الحال مع هجوم KrbRelayUp.

تنفيذ

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لاكتشاف أي من المجالات الخاصة بك لديها تكوينات غير آمنة.

    لقطة شاشة تعرض وصفا لتكوينات المجال غير آمنة وكيفية تأثيرها على المستخدم.

  2. اتخذ الإجراء المناسب على هذه المجالات عن طريق تعديل التكوينات ذات الصلة أو إزالتها.

  3. استخدم المعالجة المناسبة للتكوينات ذات الصلة كما هو موضح في الجدول التالي.

    الإجراء الموصى به الاصلاح سبب
    فرض نهج توقيع LDAP على "طلب التوقيع" نوصيك بمطالبة توقيع LDAP على مستوى وحدة التحكم بالمجال. لمعرفة المزيد حول توقيع خادم LDAP، راجع متطلبات توقيع خادم LDAP لوحدة التحكم بالمجال. نسبة استخدام الشبكة غير الموقعة عرضة لهجمات الرجل في الوسط.
    تعيين ms-DS-MachineAccountQuota إلى "0" قم بتعيين السمة MS-DS-Machine-Account-Quota إلى "0". الحد من قدرة المستخدمين غير المميزين على تسجيل الأجهزة في المجال. لمزيد من المعلومات حول هذه الخاصية المحددة وكيفية تأثيرها على تسجيل الجهاز، راجع الحد الافتراضي لعدد محطات العمل التي يمكن للمستخدم الانضمام إلى المجال.

الخطوات التالية

تعرف على المزيد حول Microsoft Secure Score

  • Last updated on