Ocena zabezpieczeń: niezabezpieczone konfiguracje domeny

Co to są niezabezpieczone konfiguracje domeny?

Usługa Microsoft Defender for Identity stale monitoruje środowisko w celu identyfikowania domen z wartościami konfiguracji, które zagrażają zagrożeniom bezpieczeństwa, oraz raportuje te domeny, aby ułatwić ochronę środowiska.

Jakie ryzyko stanowią niezabezpieczone konfiguracje domeny?

Organizacje, które nie zabezpieczają konfiguracji domeny, pozostawiają odblokowane drzwi dla złośliwych podmiotów.

Złośliwi aktorzy, podobnie jak złodzieje, często szukają najprostszego i najcichszego sposobu w każdym środowisku. Domeny skonfigurowane z niezabezpieczonymi konfiguracjami to okna możliwości dla osób atakujących i mogą stanowić zagrożenie.

Jeśli na przykład podpisywanie LDAP nie jest wymuszane, osoba atakująca może naruszyć bezpieczeństwo kont domeny. Jest to szczególnie ryzykowne, jeśli konto ma uprzywilejowany dostęp do innych zasobów, podobnie jak w przypadku ataku KrbRelayUp.

Jak mogę użyć tej oceny zabezpieczeń?

1. Przejrzyj zalecaną akcję, https://security.microsoft.com/securescore?viewid=actions aby dowiedzieć się, która z domen ma niezabezpieczone konfiguracje.
2. Podejmij odpowiednie działania w tych domenach, modyfikując lub usuwając odpowiednie konfiguracje.

Uwaga

Chociaż oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Chociaż lista jednostek, których dotyczy ten wpływ, zostanie zaktualizowana w ciągu kilku minut od wdrożenia zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Korekty

Użyj korygowania odpowiedniego do odpowiednich konfiguracji zgodnie z opisem w poniższej tabeli.

Zalecana akcja	Korekty	Przyczyna
Wymuszanie zasad podpisywania LDAP na wartość "Wymagaj podpisywania"	Zalecamy wymaganie podpisywania LDAP na poziomie kontrolera domeny. Aby dowiedzieć się więcej na temat podpisywania serwera LDAP, zobacz Wymagania dotyczące podpisywania serwera LDAP kontrolera domeny.	Ruch sieciowy bez znaku jest podatny na ataki typu man-in-the-middle.
Ustaw wartość ms-DS-MachineAccountQuota na wartość "0"	Ustaw atrybut MS-DS-Machine-Account-Quota na wartość "0".	Ograniczenie możliwości nieuprzywilejowanych użytkowników do rejestrowania urządzeń w domenie. Aby uzyskać więcej informacji na temat tej konkretnej właściwości i jej wpływu na rejestrację urządzeń, zobacz Domyślny limit liczby stacji roboczych, które użytkownik może dołączyć do domeny.

Zobacz też

• Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft
• Zapoznaj się z forum usługi Defender for Identity!