שתף באמצעות


הערכת אבטחה: תצורות תחום לא מאובטחות

מהן תצורות של תחומים לא מאובטחים?

Microsoft Defender עבור זהות ניטור רציף של הסביבה שלך כדי לזהות תחומים עם ערכי תצורות החושפת סיכון אבטחה, ודוחות על תחומים אלה כדי לסייע לך בהגנה על הסביבה שלך.

איזה סיכון מהווים תצורות תחום לא מאובטחות?

ארגונים שאינם מצליחים לאבטח את תצורות התחום שלהם משאירים את הדלת לא נעולה עבור שחקנים זדוניים.

לעתים קרובות, שחקנים זדוניים, בדומה לגנבים, מצפים בדרך הקלה והשלווה ביותר לכל סביבה. תחומים שתצורתם נקבעה עם תצורות לא מאובטחות הם חלונות של הזדמנות לתוקפים ולחשוף סיכונים.

לדוגמה, אם חתימת LDAP אינה נאכפת, תוקף יכול לסכן חשבונות תחום. הדבר מסוכן במיוחד אם לחשבון יש הרשאת גישה למשאבים אחרים, בדומה לתקיפות KrbRelayUp.

כיצד ניתן לבצע בהערכת אבטחה זו?

  1. סקור את הפעולה המומלצת ב https://security.microsoft.com/securescore?viewid=actions - כדי לגלות לא מי מבין התחומים שלך כולל תצורות לא מאובטחות. סקור ישויות מושפעות מובילות וצור תוכנית פעולה.
  2. בצע פעולה מתאימה על תחומים אלה על-ידי שינוי או הסרה של התצורות הרלוונטיות.

הערה

בעוד שהערכות מתעדכנת כמעט בזמן אמת, הציונים והמצבים מתעדכנים כל 24 שעות. בעוד שרשימת הישויות המושפעות מתעדכנת תוך כמה דקות מההטמעה של ההמלצות, המצב עשוי להימשך זמן מה עד שהוא יסומן כ'הושלם '.

תיקונים

השתמש בתיקון המתאים לתצורות הרלוונטיות, כמתואר בטבלה הבאה.

פעולה מומלצת תיקונים למה
אכיפת מדיניות חתימת LDAP ל"דרוש חתימה" מומלץ לדרוש חתימת LDAP ברמת בקר התחום. לקבלת מידע נוסף על חתימת שרת LDAP, ראה דרישות חתימת שרת LDAP לבקר תחום. תעבורת רשת לא רשום חשופה לתקיפות של אדם באמצע.
הגדר את ms-DS-MachineAccountQuota ל- "0" הגדר את התכונה MS-DS-Machine-Account-Quota ל- "0". הגבלת היכולת של משתמשים שאינם מורשים לרשום מכשירים בתחום. לקבלת מידע נוסף אודות מאפיין מסוים זה וכיצד הוא משפיע על רישום המכשיר, ראה מגבלת ברירת מחדל למספר תחנות עבודה שמשתמש יכול להצטרף לתחום.

ראה גם