다음을 통해 공유


보안 평가: 안전하지 않은 수행기본 구성

안전하지 않은 기본 구성은 무엇인가요?

Microsoft Defender for Identity는 환경을 지속적으로 모니터링하여 보안 위험을 노출하는 구성 값이 있는 do기본를 식별하고 이러한 작업을 보고하여 환경을 보호하는 데 도움이 되는 기본.

보안되지 않은 구성은 어떤 위험을 초래합니까기본

수행기본 구성을 보호하지 못하는 조직은 악의적인 행위자를 위해 문을 잠금 해제합니다.

악의적인 행위자는 도둑과 마찬가지로 어떤 환경에서도 가장 쉽고 조용한 방법을 찾는 경우가 많습니다. 보안되지 않은 구성으로 구성된 do기본는 공격자에게 기회의 창이며 위험을 노출할 수 있습니다.

예를 들어 LDAP 서명이 적용되지 않으면 공격자가 계정을 손상시킬 수 기본. 이는 KrbRelayUp 공격과 마찬가지로 계정에 다른 리소스에 대한 권한 있는 액세스 권한이 있는 경우 특히 위험합니다.

이 보안 평가를 사용할 어떻게 할까요? 있나요?

  1. 권장되는 작업을 https://security.microsoft.com/securescore?viewid=actions 검토하여 보안되지 않은 구성이 있는 기본 확인합니다. Review top impacted entities and create an action plan.
  2. 관련 구성을 수정하거나 제거하여 이러한 작업을 기본 적절한 조치를 취합니다.

참고 항목

평가는 거의 실시간으로 업데이트되지만 점수 및 상태 24시간마다 업데이트됩니다. 영향을 받는 엔터티 목록은 권장 사항을 구현한 후 몇 분 이내에 업데이트되지만 상태 완료됨으로 표시될 때까지 시간이 걸릴 수 있습니다.

수정

다음 표에 설명된 대로 관련 구성에 적합한 수정을 사용합니다.

권장 작업 수정 이유
"서명 필요"에 LDAP 서명 정책 적용 컨트롤러 수준 LDAP 서명을 기본 것이 좋습니다. LDAP 서버 서명에 대한 자세한 내용은 Do기본 컨트롤러 LDAP 서버 서명 요구 사항을 참조하세요. 서명되지 않은 네트워크 트래픽은 중간에서 맨 인 더 미들 공격에 취약합니다.
ms-DS-MachineAccountQuota를 "0"으로 설정 MS-DS-Machine-Account-Quota 특성을 "0"으로 설정합니다. 권한이 없는 사용자가 할 일기본 디바이스를 등록하는 기능을 제한합니다. 이 특정 속성 및 디바이스 등록에 미치는 영향에 대한 자세한 내용은 사용자가 할 일에 조인할 수 있는 워크스테이션 수에 대한 기본 제한을 참조하세요기본.

참고 항목