Megosztás a következőn keresztül:

Identitásinfrastruktúra biztonsági értékelései

Tudnivalók az identitásbiztonsági állapotértékelések Microsoft Defender az identitásinfrastruktúra esetében.

Megjegyzés:

Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.

A beépített Active Directory-vendégfiók engedélyezve van

Leírás

Ez a javaslat azt jelzi, hogy engedélyezve van-e egy AD-vendégfiók a környezetben.
A cél annak biztosítása , hogy a tartomány vendégfiókja ne legyen engedélyezve

Felhasználóra gyakorolt hatás

A helyszíni vendégfiók egy beépített, nem nominatív fiók, amely névtelen hozzáférést biztosít az Active Directoryhoz. A fiók engedélyezése jelszó nélkül teszi lehetővé a tartományhoz való hozzáférést, ami biztonsági fenyegetést jelenthet.

Végrehajtás

  1. Tekintse át a közzétett entitások listáját, és állapítsa meg, hogy van-e engedélyezve vendégfiók.

  2. A fiók letiltásával megfelelő lépéseket kell tenni a fiókokon.

    Például:

    A vendégtulajdonságokat bemutató képernyőkép.

    Képernyőkép a beépített Active Directory-fiók engedélyezéséről.

A tartományvezérlő számítógépfiók régi jelszavának módosítása

Leírás

Ez a javaslat felsorolja az összes olyan tartományvezérlő számítógépfiókját, amelynek jelszava legutóbb 45 nappal ezelőtt volt beállítva.

A tartományvezérlő (DC) egy Active Directory- (AD-) környezetben található kiszolgáló, amely kezeli a felhasználóhitelesítést és -engedélyezést, kényszeríti a biztonsági szabályzatokat, és tárolja az AD-adatbázist. Kezeli a bejelentkezéseket, ellenőrzi az engedélyeket, és biztonságos hozzáférést biztosít a hálózati erőforrásokhoz. Több nic redundanciát biztosít a magas rendelkezésre állás érdekében.
A régi jelszóval rendelkező tartományvezérlők biztonságának sérülése fokozott kockázatnak van kitéve, és könnyebben átvehetők. A támadók kihasználhatják az elavult jelszavakat, tartós hozzáférést szerezhetnek a kritikus erőforrásokhoz, és gyengíthetik a hálózati biztonságot. Olyan tartományvezérlőt jelezhet, amely már nem működik a tartományban.

Végrehajtás

  1. A beállításjegyzék értékeinek ellenőrzése:

    • A HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange értéke 0, vagy nem létezik. 

    • A HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge értéke 30. 

  2. Helytelen értékek visszaállítása:

    • Állítsa vissza a helytelen értékeket az alapértelmezett beállításokra. 
    • Ellenőrizze Csoportházirend objektumok (GPO-k) értékét, hogy ne bírálják felül ezeket a beállításokat. 

  3. Ha ezek az értékek helyesek, ellenőrizze, hogy a NETLOGON szolgáltatás elindult-e sc.exe netlogon lekérdezéssel. 

  4. Ellenőrizze a jelszó-szinkronizálást az nltest /SC_VERIFY futtatásával: (ha a Tartománynév a tartomány NetBIOS-neve) ellenőrizheti a szinkronizálás állapotát, és mindkét ellenőrzésnél meg kell jelennie 0 0x0 NERR_Success.

Tipp

A számítógépfiók jelszóval kapcsolatos folyamatáról további információt a számítógépfiókok jelszófolyamatáról szóló blogbejegyzésben talál.

Nyomtatásisor-kezelő szolgáltatás letiltása tartományvezérlőkön

Leírás

A nyomtatásisor-kezelő egy szoftverszolgáltatás, amely a nyomtatási folyamatokat kezeli. A nyomtatásisor-kezelő elfogadja a számítógépek nyomtatási feladatait, és gondoskodik arról, hogy a nyomtató-erőforrások elérhetők legyenek. A nyomtatásisor-kezelő azt is ütemezi, hogy a nyomtatási feladatok milyen sorrendben legyenek elküldve a nyomtatási várólistára nyomtatás céljából. A személyi számítógépek korai napjaiban a felhasználóknak meg kellett várniuk a fájlok nyomtatását, mielőtt más műveleteket hajtanak végre. A modern nyomtatásisor-kezelőknek köszönhetően a nyomtatás most már minimális hatással van a teljes felhasználói hatékonyságra.

Bár látszólag ártalmatlan, a hitelesített felhasználók távolról csatlakozhatnak a tartományvezérlő nyomtatásisor-kezelő szolgáltatásához, és kérhetnek frissítést az új nyomtatási feladatokról. A felhasználók azt is megadhatja a tartományvezérlőnek, hogy az értesítést korlátozás nélküli delegálással küldjék el a rendszernek. Ezek a műveletek tesztelik a kapcsolatot, és elérhetővé teszik a tartományvezérlő számítógépfiókjának hitelesítő adatait (a nyomtatásisor-kezelő a SYSTEM tulajdonában van).

Az expozíció lehetősége miatt a tartományvezérlőknek és az Active Directory felügyeleti rendszereknek le kell tiltania a nyomtatásisor-kezelő szolgáltatást. Ennek ajánlott módja egy Csoportházirend objektum (GPO) használata.

Bár ez a biztonsági értékelés a tartományvezérlőkre összpontosít, az ilyen típusú támadások bármelyik kiszolgálót fenyegetik.

Végrehajtás

  1. Tekintse át a következő helyen javasolt műveletet https://security.microsoft.com/securescore?viewid=actions : annak kiderítése, hogy melyik tartományvezérlőn van engedélyezve a Nyomtatásisor-kezelő szolgáltatás.

    Képernyőkép a nyomtatásisor-kezelő szolgáltatást futtató közzétett entitások listájáról.

  2. Hajtsa végre a megfelelő lépéseket a veszélyeztetett tartományvezérlőkön, és aktívan távolítsa el a nyomtatásisor-kezelő szolgáltatást manuálisan, csoportházirend-objektumon vagy más típusú távoli parancsokon keresztül.

  3. Az expozíció lehetősége miatt a tartományvezérlőknek és az Active Directory felügyeleti rendszereknek le kell tiltania a nyomtatásisor-kezelő szolgáltatást. Ezt a problémát úgy háríthatja el, hogy letiltja a Nyomtatásisor-kezelő szolgáltatást minden olyan kiszolgálón, amelyhez nincs szükség.

Megjegyzés:

  • A szolgáltatás letiltása és az aktív nyomtatási munkafolyamatok megakadályozása előtt mindenképpen vizsgálja meg a nyomtatásisor-kezelő beállításait, konfigurációit és függőségeit.
  • A tartományvezérlői szerepkör hozzáad egy szálat a nyomtatásisor-kezelő szolgáltatáshoz , amely a nyomtatási sor eltávolításáért felelős, és eltávolítja az elavult nyomtatásisor-objektumokat az Active Directoryból. Ezért a nyomtatásisor-kezelő szolgáltatás letiltására vonatkozó biztonsági javaslat kompromisszumot jelent a biztonság és a nyomtatás metszésének lehetősége között. A probléma megoldásához fontolja meg az elavult nyomtatási várólista-objektumok rendszeres metszését.

Helyi rendszergazdák eltávolítása identitáseszközökről

Leírás

Az identitásrendszer , például az AD FS, az AD CS, az Active Directory stb. közvetett vezérlésével rendelkező fiókok jogosultak eszkalálni a jogosultságaikat a környezetben, ami tartományi Rendszergazda hozzáféréshez vagy azzal egyenértékűhez vezethet.

A 0. rétegbeli rendszerek minden helyi rendszergazdája közvetett tartományi Rendszergazda a támadó szempontjából.

Végrehajtás

  1. Tekintse át a helyi rendszergazdák eltávolítása identitáseszközökről című témakör javasolt műveletéthttps://security.microsoft.com/securescore?viewid=actions.

    Például:

    Képernyőkép az identitáseszközök helyi rendszergazdáinak eltávolítására javasolt műveletről.

  2. Tekintse át a közzétett entitások listáját, hogy megtudja, mely fiókjai rendelkeznek helyi rendszergazdai jogosultságokkal az identitáseszközökön.

  3. A jogosultsági jogosultságok eltávolításával megfelelő lépéseket kell tenni az entitásokon.

  4. A teljes pontszám eléréséhez szervizelnie kell az összes közzétett entitást.

Nem figyelt tartományvezérlők

Leírás

Az identitáskezelési Microsoft Defender alapvető része, hogy az érzékelők minden szervezeti tartományvezérlőn üzembe legyenek helyezve, és minden eszközről átfogó képet nyújtson az összes felhasználói tevékenységről.

Emiatt a Defender for Identity folyamatosan figyeli a környezetet, hogy azonosítsa a telepített Defender for Identity-érzékelő nélküli tartományvezérlőket, és jelentéseket készít ezekről a nem figyelt kiszolgálókról, hogy segítsen a környezet teljes lefedettségének kezelésében.

A maximális hatékonyság érdekében minden tartományvezérlőt monitorozni kell a Defender for Identity érzékelőivel. Azok a szervezetek, amelyek nem tudják szervizelni a nem figyelt tartományvezérlőket, csökkentik a környezetük láthatóságát, és potenciálisan rosszindulatú szereplők számára teszik elérhetővé az eszközeiket.

Végrehajtás

  1. Tekintse át a következő helyen javasolt műveletet https://security.microsoft.com/securescore?viewid=actions : annak kiderítése, hogy mely tartományvezérlők nincsenek figyelve.

    Képernyőkép a nem figyelt tartományvezérlőkről.

  2. A monitorozási érzékelők telepítésével és konfigurálásával megfelelő lépéseket kell tenni ezen a tartományvezérlőn.

Nem figyelt ADCS-kiszolgálók

Leírás

A nem figyelt Active Directory tanúsítványszolgáltatások (AD CS) kiszolgálói jelentős kockázatot jelentenek a szervezet identitásinfrastruktúrájára. Az AD CS, a tanúsítványok kiállításának és megbízhatóságának gerince nagy értékű cél a jogosultságok eszkalálására vagy hitelesítő adatok eszkalálására irányuló támadók számára. Megfelelő figyelés nélkül a támadók kihasználhatják ezeket a kiszolgálókat, hogy jogosulatlan tanúsítványokat adjanak ki, ami lehetővé teszi a rejtett oldalirányú mozgást és az állandó hozzáférést. A kockázat csökkentése érdekében helyezzen üzembe Microsoft Defender identity 2.0-s verziójú érzékelőket az összes AD CS-kiszolgálón. Ezek az érzékelők valós idejű betekintést nyújtanak a gyanús tevékenységekbe, észlelik a speciális fenyegetéseket, és végrehajtható riasztásokat hoznak létre a biztonsági események és a hálózati viselkedés alapján.

Végrehajtás

Megjegyzés:

Ez a biztonsági értékelés csak akkor érhető el, ha Végponthoz készült Microsoft Defender jogosult ADCS-kiszolgálókat észlel a környezetben. Bizonyos esetekben előfordulhat, hogy az ADCS-t futtató kiszolgálók nem azonosíthatók a szükséges szerepkörrel, ezért nem jelennek meg ebben az értékelésben, még akkor sem, ha a környezetben léteznek.

  1. Tekintse át a következő helyen javasolt műveletet https://security.microsoft.com/securescore?viewid=actions : annak kiderítése, hogy melyik AD CS-kiszolgáló nincs figyelve.

    Képernyőkép a nem figyelt AD CS-kiszolgáló javasolt műveleteiről.

  2. Lépjen a Microsoft Defender portál > Beállítások > Identitásérzékelői > lapjára. Megtekintheti a környezetében már telepített érzékelőket, és letöltheti a telepítőcsomagot, hogy üzembe helyezhesse őket a fennmaradó kiszolgálókon.

  3. A monitorozási érzékelők konfigurálásával megfelelő lépéseket kell tenni a kiszolgálókon.

Nem figyelt ADFS-kiszolgálók

Ez a cikk az Identitás nem figyelt Active Directory összevonási szolgáltatások (AD FS) (ADFS) kiszolgálóinak biztonsági helyzetértékelési jelentéséhez tartozó Microsoft Defender ismerteti.

Leírás

A nem figyelt Active Directory összevonási szolgáltatások (AD FS) (ADFS) kiszolgálók jelentős biztonsági kockázatot jelentenek a szervezetek számára. Az ADFS az összevont hitelesítés és az egyszeri bejelentkezés átjárójaként szabályozza a felhőbeli és a helyszíni erőforrásokhoz való hozzáférést. Ha a támadók feltörnek egy ADFS-kiszolgálót, hamis jogkivonatokat adhatnak ki, és megszemélyesíthetnek minden felhasználót, beleértve a kiemelt fiókokat is. Az ilyen támadások megkerülhetik a többtényezős hitelesítést (MFA), a feltételes hozzáférést és más alárendelt biztonsági vezérlőket, ami különösen veszélyessé teheti őket. Megfelelő figyelés nélkül előfordulhat, hogy az ADFS-kiszolgálókon a gyanús tevékenységek hosszabb ideig nem lesznek észlelve. A Microsoft Defender az Identity 2.0-s verziójának érzékelőinek telepítése elengedhetetlen az ADFS-kiszolgálókon. Ezek az érzékelők lehetővé teszik a gyanús viselkedés valós idejű észlelését, és segítenek megelőzni a jogkivonatok hamisítását, a bizalmi kapcsolatok visszaélését és a rejtett oldalirányú mozgást a környezetben.

Végrehajtás

Megjegyzés:

Ez a biztonsági értékelés csak akkor érhető el, ha Végponthoz készült Microsoft Defender jogosult ADFS-kiszolgálókat észlel a környezetben. Bizonyos esetekben előfordulhat, hogy az ADFS-t futtató kiszolgálók nem azonosíthatók a szükséges szerepkörrel, ezért nem jelennek meg ebben az értékelésben, még akkor sem, ha a környezetben léteznek.

  1. Tekintse át a következő helyen javasolt műveletet https://security.microsoft.com/securescore?viewid=actions , hogy megtudja, melyik ADFS-kiszolgáló nincs figyelve.

    Képernyőkép a nem figyelt ADFS-kiszolgáló javasolt műveleteiről.

  2. Lépjen a Microsoft Defender portál > Beállítások > Identitásérzékelői > lapjára. Megtekintheti a környezetében már telepített érzékelőket, és letöltheti a telepítőcsomagot, hogy üzembe helyezhesse őket a fennmaradó kiszolgálókon.

  3. A monitorozási érzékelők konfigurálásával megfelelő lépéseket kell tenni a kiszolgálókon.

Nem figyelt Microsoft Entra Connect-kiszolgálók

Leírás

A nem figyelt Microsoft Entra Connect-kiszolgálók (korábban Azure AD Connect) jelentős biztonsági kockázatot jelentenek a hibrid identitáskezelési környezetekben. Ezek a kiszolgálók szinkronizálják az identitásokat helyi Active Directory és Entra ID között. Olyan fiókokat és attribútumokat vezethetnek be, módosíthatnak vagy távolíthatnak el, amelyek közvetlenül befolyásolják a felhőbeli hozzáférést.

Ha egy támadó feltör egy Microsoft Entra Connect-kiszolgálót, beszúrhat árnyékrendszergazdákat, módosíthatja a csoporttagságokat, vagy szinkronizálhatja a kártékony módosításokat a felhőbe hagyományos riasztások aktiválása nélkül.

Ezek a kiszolgálók a helyszíni és a felhőbeli identitás találkozásánál működnek, így a jogosultságok eszkalálása és a rejtett megőrzés elsődleges célpontja. Monitorozás nélkül az ilyen támadások észrevétlenek lehetnek. A Microsoft Defender identity 2.0-s verziójának érzékelőinek üzembe helyezése Microsoft Entra Connect-kiszolgálókon kritikus fontosságú. Ezek az érzékelők valós időben észlelik a gyanús tevékenységeket, védik a hibrid identitáshíd integritását, és megakadályozzák a teljes tartomány biztonságának sérülését egyetlen meghibásodási pontból.

Végrehajtás

Megjegyzés:

Ez a biztonsági értékelés csak akkor érhető el, ha Végponthoz készült Microsoft Defender jogosult Microsoft Entra Connect-kiszolgálókat észlel a környezetben. Bizonyos esetekben előfordulhat, hogy az Entra Connectet futtató kiszolgálók nem azonosíthatók a szükséges szerepkörrel, ezért nem jelennek meg ebben az értékelésben, még akkor sem, ha a környezetben léteznek.

  1. Tekintse át a javasolt műveletet a címenhttps://security.microsoft.com/securescore?viewid=actions, hogy megtudja, mely Microsoft Entra Connect-kiszolgálók nincsenek figyelve.

    Képernyőkép a nem figyelt Entra Connect-kiszolgáló javasolt műveleteiről.

  2. Lépjen a Microsoft Defender portál > Beállítások > Identitásérzékelői > lapjára. Megtekintheti a környezetében már telepített érzékelőket, és letöltheti a telepítőcsomagot, hogy üzembe helyezhesse őket a fennmaradó kiszolgálókon.

  3. A monitorozási érzékelők konfigurálásával megfelelő lépéseket kell tenni a kiszolgálókon.

Nem biztonságos tartománykonfigurációk megoldása

Leírás

Microsoft Defender for Identity folyamatosan figyeli a környezetet, hogy azonosítsa a tartományokat olyan konfigurációs értékekkel, amelyek biztonsági kockázatot jelentenek, és jelentéseket készít ezekről a tartományokról a környezet védelmének elősegítése érdekében.

Azok a szervezetek, amelyek nem tudják biztonságossá tenni a tartománykonfigurációikat, nyitva hagyják az ajtót a rosszindulatú szereplők számára.

A rosszindulatú szereplők, hasonlóan a tolvajokhoz, gyakran a legegyszerűbb és legcsendesebb utat keresik bármilyen környezetben. A nem biztonságos konfigurációkkal konfigurált tartományok lehetőséget jelentenek a támadók számára, és kockázatot jelenthetnek.

Ha például az LDAP-aláírás nincs kényszerítve, a támadók feltörhetik a tartományi fiókokat. Ez különösen kockázatos, ha a fiók emelt szintű hozzáféréssel rendelkezik más erőforrásokhoz, mint a KrbRelayUp támadás esetén.

Végrehajtás

  1. Tekintse át a javasolt műveletet a következő helyen https://security.microsoft.com/securescore?viewid=actions : annak kiderítése, hogy melyik tartomány nem biztonságos konfigurációval rendelkezik.

    A nem biztonságos tartománykonfigurációk leírását és a felhasználóra gyakorolt hatásukat bemutató képernyőkép.

  2. A megfelelő beállítások módosításával vagy eltávolításával hajtsa végre a megfelelő lépéseket ezeken a tartományokon.

  3. Használja a megfelelő konfigurációknak megfelelő szervizelést az alábbi táblázatban leírtak szerint.

    Javasolt művelet Kármentesítés Ok
    LDAP-aláírási szabályzat kényszerítése az "Aláírás megkövetelése" értékre Javasoljuk, hogy tartományvezérlői szintű LDAP-aláírást igényeljön. Az LDAP-kiszolgáló aláírásával kapcsolatos további információkért lásd: A tartományvezérlő LDAP-kiszolgálói aláírási követelményei. Az aláíratlan hálózati forgalom hajlamos a közbeszúrt támadásokra.
    Állítsa az ms-DS-MachineAccountQuota értékét "0" értékre Állítsa az MS-DS-Machine-Account-Quota attribútumot "0" értékre. Korlátozza a nem kiemelt jogosultságú felhasználók azon képességét, hogy eszközöket regisztráljanak a tartományban. Az adott tulajdonságról és az eszközregisztrációra gyakorolt hatásáról további információt a Felhasználó által a tartományhoz csatlakoztatható munkaállomások számának alapértelmezett korlátja című témakörben talál.

Következő lépések

További információ a Microsoft biztonsági pontszámáról

  • Last updated on