Sicherheitsbewertung: Unsichere Aufgaben Standard Konfigurationen
Was sind unsichere Konfigurationen Standard?
Microsoft Defender for Identity überwacht Ihre Umgebung kontinuierlich, um aufgabenbezogene Aufgaben zu identifizieren Standard mit Konfigurationswerten, die ein Sicherheitsrisiko offenlegen, sowie Berichte zu diesen Aktionen Standard, um Sie beim Schutz Ihrer Umgebung zu unterstützen.
Welches Risiko besteht in unsicheren Aktionen Standard Konfigurationen?
Organisationen, die ihre Aufgaben nicht sichern Standard Konfigurationen lassen die Tür für böswillige Akteure entsperrt.
Böswillige Schauspieler, ähnlich wie Diebe, suchen oft nach dem einfachsten und leisesten Weg in jede Umgebung. Do Standard s, die mit unsicheren Konfigurationen konfiguriert sind, sind Fenster der Chancen für Angreifer und können Risiken offenlegen.
Wenn beispielsweise keine LDAP-Signatur erzwungen wird, kann ein Angreifer dies tun Standard Konten. Dies ist besonders riskant, wenn das Konto wie bei dem KrbRelayUp-Angriff privilegierten Zugriff auf andere Ressourcen hat.
Gewusst wie diese Sicherheitsbewertung verwenden?
- Überprüfen Sie die empfohlene Aktionhttps://security.microsoft.com/securescore?viewid=actions, um zu ermitteln, welche Ihrer Aufgaben Standard unsichere Konfigurationen aufweisen.
- Ergreifen Sie dazu geeignete Maßnahmen Standard indem Sie die relevanten Konfigurationen ändern oder entfernen.
Hinweis
Während Bewertungen in nahezu Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, dauert der Status möglicherweise noch Zeit, bis sie als abgeschlossen gekennzeichnet ist.
Wartung
Verwenden Sie die korrektur, die für die relevanten Konfigurationen geeignet ist, wie in der folgenden Tabelle beschrieben.
Empfohlene Maßnahme | Wartung | `Reason` |
---|---|---|
Erzwingen der LDAP-Signaturrichtlinie auf "Signieren erforderlich" | Es wird empfohlen Standard LDAP-Signierung auf Controllerebene erforderlich. Weitere Informationen zur LDAP-Serversignierung finden Sie unter Do Standard Controller LDAP-Serversignaturanforderungen. | Nicht signierter Netzwerkdatenverkehr ist anfällig für Man-in-the-Middle-Angriffe. |
Festlegen von "ms-DS-MachineAccountQuota" auf "0" | Legen Sie das ATTRIBUT "MS-DS-Machine-Account-Quota " auf "0" fest. | Beschränken der Fähigkeit nicht privilegierter Benutzer, Geräte in der Do Standard zu registrieren. Weitere Informationen zu dieser bestimmten Eigenschaft und deren Auswirkungen auf die Geräteregistrierung finden Sie unter "Standardgrenzwert für die Anzahl von Arbeitsstationen, die ein Benutzer mit der Do verknüpfen kann Standard. |