Oceny zabezpieczeń infrastruktury tożsamości

Dowiedz się więcej o Microsoft Defender oceny stanu zabezpieczeń tożsamości dla infrastruktury tożsamości.

Uwaga

Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Wbudowane konto gościa usługi Active Directory jest włączone

Opis

To zalecenie wskazuje, czy konto gościa usługi AD jest włączone w twoim środowisku.
Celem jest upewnienie się, że konto gościa domeny nie jest włączone. 

Wpływ na użytkownika

Lokalne konto gościa to wbudowane, nie nominacyjne konto, które umożliwia anonimowy dostęp do usługi Active Directory. Włączenie tego konta umożliwia dostęp do domeny bez konieczności używania hasła, co może stanowić zagrożenie bezpieczeństwa.

Implementacja

1. Przejrzyj listę uwidocznionych jednostek, aby dowiedzieć się, czy istnieje konto gościa, które jest włączone.

2. Podejmij odpowiednie działania na tych kontach, wyłączając konto.

   Przykład:

   

   

Zmienianie starego hasła konta komputera kontrolera domeny

Opis

To zalecenie zawiera listę wszystkich kont komputerów kontrolera domeny z hasłem ostatnio ustawionym ponad 45 dni temu.

Kontroler domeny (DC) to serwer w środowisku usługi Active Directory (AD), który zarządza uwierzytelnianiem i autoryzacją użytkowników, wymusza zasady zabezpieczeń i przechowuje bazę danych usługi AD. Obsługuje ona logowania, weryfikuje uprawnienia i zapewnia bezpieczny dostęp do zasobów sieciowych. Wiele kontrolerów domeny zapewnia nadmiarowość w celu zapewnienia wysokiej dostępności.
Kontrolery domeny ze starymi hasłami są narażone na zwiększone ryzyko naruszenia zabezpieczeń i można je łatwiej przejąć. Osoby atakujące mogą wykorzystywać nieaktualne hasła, uzyskując długotrwały dostęp do krytycznych zasobów i osłabiając bezpieczeństwo sieci. Może wskazywać kontroler domeny, który nie działa już w domenie.

Implementacja

1. Sprawdź wartości rejestru:

   • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange ma wartość 0 lub nie istnieje. 

   • Wartość HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge wynosi 30. 

2. Resetuj nieprawidłowe wartości:

   • Zresetuj wszystkie nieprawidłowe wartości do ustawień domyślnych. 
   • Sprawdź, zasady grupy Obiekty (GPO), aby upewnić się, że nie zastępują tych ustawień. 

3. Jeśli te wartości są poprawne, sprawdź, czy usługa NETLOGON została uruchomiona z sc.exe kwerendy netlogon. 

4. Zweryfikuj synchronizację haseł, uruchamiając polecenie nltest /SC_VERIFY: (nazwa domeny jest nazwą netBIOS domeny) może sprawdzić stan synchronizacji i powinna zostać wyświetlona 0 0x0 NERR_Success dla obu weryfikacji.

Porada

Aby uzyskać więcej informacji na temat procesu haseł konta komputera, zapoznaj się z tym wpisem w blogu dotyczącym procesu haseł kont maszyn.

Wyłącz usługę buforu wydruku na kontrolerach domeny

Opis

Bufor wydruku to usługa oprogramowania, która zarządza procesami drukowania. Bufor akceptuje zadania drukowania z komputerów i zapewnia dostępność zasobów drukarki. Bufor planuje również kolejność wysyłania zadań drukowania do kolejki drukowania w celu drukowania. W pierwszych dniach komputerów osobistych użytkownicy musieli czekać na wydrukowanie plików przed wykonaniem innych akcji. Dzięki nowoczesnym wydruku drukowanie ma teraz minimalny wpływ na ogólną produktywność użytkowników.

Mimo pozornie nieszkodliwego, każdy uwierzytelniony użytkownik może zdalnie połączyć się z usługą buforu wydruku kontrolera domeny i zażądać aktualizacji nowych zadań drukowania. Ponadto użytkownicy mogą poinformować kontroler domeny o wysłaniu powiadomienia do systemu z nieograniczonym delegowaniem. Te akcje testują połączenie i uwidaczniają poświadczenia konta komputera kontrolera domeny (bufor wydruku jest własnością systemu).

Ze względu na możliwość ujawnienia kontrolery domeny i systemy administracyjne usługi Active Directory muszą mieć wyłączoną usługę buforu wydruku . Zalecanym sposobem na to jest użycie obiektu zasady grupy (GPO).

Chociaż ta ocena zabezpieczeń koncentruje się na kontrolerach domeny, każdy serwer jest potencjalnie zagrożony atakiem tego typu.

Implementacja

1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby dowiedzieć się, które kontrolery domeny mają włączoną usługę buforu wydruku .

   

2. Podejmij odpowiednie działania na kontrolerach domeny zagrożonych i aktywnie usuń usługę buforowania wydruku ręcznie za pośrednictwem obiektu zasad grupy lub innych typów poleceń zdalnych.

3. Ze względu na możliwość ujawnienia kontrolery domeny i systemy administracyjne usługi Active Directory muszą mieć wyłączoną usługę buforu wydruku . Rozwiąż ten konkretny problem, wyłączając usługę buforowania wydruku na wszystkich serwerach, które tego nie wymagają.

Uwaga

• Przed wyłączeniem tej usługi i zapobieganiem aktywnym przepływom pracy drukowania upewnij się, że zbadasz ustawienia, konfiguracje i zależności buforu wydruku.
• Rola kontrolera domeny dodaje wątek do usługi buforowania , która jest odpowiedzialna za wykonywanie przycinania wydruku — usuwa nieaktualne obiekty kolejki wydruku z usługi Active Directory. W związku z tym zalecenie dotyczące zabezpieczeń dotyczące wyłączania usługi buforowania wydruku jest kompromisem między zabezpieczeniami a możliwością wykonywania przycinania wydruku. Aby rozwiązać ten problem, należy rozważyć okresowe przycinanie nieaktualnych obiektów kolejki wydruku.

Usuwanie administratorów lokalnych w zasobach tożsamości

Opis

Konta z pośrednią kontrolą nad systemem tożsamości, takimi jak usługi AD FS, AD CS, Active Directory itd., mają prawa do eskalowania swoich uprawnień w środowisku, co może prowadzić do uzyskania dostępu do Administracja domeny lub równoważnej.

Każdy administrator lokalny w systemie Warstwy 0 jest domeną pośrednią Administracja z punktu widzenia osoby atakującej.

Implementacja

1. Zapoznaj się z zalecaną akcją w https://security.microsoft.com/securescore?viewid=actions sekcji Usuwanie administratorów lokalnych w zasobach tożsamości.

   Przykład:

   

2. Przejrzyj tę listę uwidocznionych jednostek, aby dowiedzieć się, które z Twoich kont mają uprawnienia administratora lokalnego do zasobów tożsamości.

3. Podejmij odpowiednie działania względem tych jednostek, usuwając ich uprzywilejowane prawa dostępu.

4. Aby osiągnąć pełny wynik, należy skorygować wszystkie ujawnione jednostki.

Niemonitorowane kontrolery domeny

Opis

Istotna część rozwiązania Microsoft Defender dla tożsamości wymaga wdrożenia czujników na wszystkich organizacyjnych kontrolerach domeny, zapewniając kompleksowy widok wszystkich działań użytkowników z każdego urządzenia.

Z tego powodu usługa Defender for Identity stale monitoruje środowisko w celu identyfikowania kontrolerów domeny bez zainstalowanego czujnika usługi Defender for Identity oraz raportuje te niemonitorowane serwery, aby ułatwić zarządzanie pełnym pokryciem środowiska.

Aby zapewnić maksymalną wydajność, wszystkie kontrolery domeny muszą być monitorowane za pomocą czujników usługi Defender for Identity. Organizacje, które nie mogą korygować niemonitorowanych kontrolerów domeny, zmniejszają widoczność środowiska i potencjalnie uwidaczniają swoje zasoby złośliwym podmiotom.

Implementacja

1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby dowiedzieć się, które kontrolery domeny są niemonitorowane.

   

2. Podejmij odpowiednie działania na tych kontrolerach domeny, instalując i konfigurując czujniki monitorowania.

Niemonitorowane serwery usług ADCS

Opis

Niemonitorowane serwery usług certyfikatów Active Directory (AD CS) stanowią znaczne zagrożenie dla infrastruktury tożsamości organizacji. Usługa AD CS, będąca podstawą wystawiania certyfikatów i zaufania, jest celem o wysokiej wartości dla osób atakujących, których celem jest eskalowanie uprawnień lub fałszowanie poświadczeń. Bez odpowiedniego monitorowania osoby atakujące mogą wykorzystać te serwery do wystawiania nieautoryzowanych certyfikatów, umożliwiając niewidoczny ruch boczny i trwały dostęp. Wdróż Microsoft Defender dla czujników tożsamości w wersji 2.0 na wszystkich serwerach usług AD CS, aby wyeliminować to ryzyko. Czujniki te zapewniają wgląd w podejrzane działania w czasie rzeczywistym, wykrywają zaawansowane zagrożenia i generują alerty z możliwością działania na podstawie zdarzeń zabezpieczeń i zachowania sieci.

Implementacja

Uwaga

Ta ocena zabezpieczeń jest dostępna tylko wtedy, gdy Ochrona punktu końcowego w usłudze Microsoft Defender wykryje kwalifikujące się serwery ADCS w środowisku. W niektórych przypadkach serwery z usługą ADCS mogą nie być identyfikowane z wymaganą rolą i dlatego nie będą wyświetlane w tej ocenie, nawet jeśli istnieją w środowisku.

1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby dowiedzieć się, które serwery usług AD CS są niemonitorowane.

   

2. Przejdź do Microsoft Defender portalu Settings > Identities Sensors (Czujniki tożsamości tożsamości > w portalu > Microsoft Defender). Możesz wyświetlić już zainstalowane czujniki w środowisku i pobrać pakiet instalacyjny, aby wdrożyć je na pozostałych serwerach.

3. Podejmij odpowiednie działania na tych serwerach, konfigurując czujniki monitorowania.

Niemonitorowane serwery usług AD FS

W tym artykule opisano Microsoft Defender dla niemonitorowanego raportu oceny stanu zabezpieczeń serwerów Active Directory Federation Services (ADFS) tożsamości.

Opis

Niemonitorowane serwery Active Directory Federation Services (ADFS) stanowią znaczące zagrożenie dla bezpieczeństwa organizacji. Usługa ADFS kontroluje dostęp zarówno do zasobów w chmurze, jak i zasobów lokalnych jako brama do uwierzytelniania federacyjnego i logowania jednokrotnego. Jeśli osoby atakujące naruszą bezpieczeństwo serwera usług AD FS, mogą wystawiać sfałszowane tokeny i personifikować dowolnego użytkownika, w tym konta uprzywilejowane. Takie ataki mogą pomijać uwierzytelnianie wieloskładnikowe (MFA), dostęp warunkowy i inne podrzędne mechanizmy kontroli zabezpieczeń, co czyni je szczególnie niebezpiecznymi. Bez odpowiedniego monitorowania podejrzane działania na serwerach usług AD FS mogą pozostać niewykryte przez dłuższy czas. Wdrażanie czujników Microsoft Defender dla tożsamości w wersji 2.0 na serwerach usług ADFS jest niezbędne. Czujniki te umożliwiają wykrywanie podejrzanych zachowań w czasie rzeczywistym i zapobiegają fałszowaniu tokenów, nadużywaniu relacji zaufania i niewidocznemu ruchowi bocznemu w środowisku.

Implementacja

Uwaga

Ta ocena zabezpieczeń jest dostępna tylko wtedy, gdy Ochrona punktu końcowego w usłudze Microsoft Defender wykryje kwalifikujące się serwery usług AD FS w środowisku. W niektórych przypadkach serwery z systemem AD FS mogą nie być identyfikowane z wymaganą rolą i dlatego nie będą wyświetlane w tej ocenie, nawet jeśli istnieją w środowisku.

1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby dowiedzieć się, które z serwerów usług AD FS są niemonitorowane.

   

2. Przejdź do Microsoft Defender portalu Settings > Identities Sensors (Czujniki tożsamości tożsamości > w portalu > Microsoft Defender). Możesz wyświetlić już zainstalowane czujniki w środowisku i pobrać pakiet instalacyjny, aby wdrożyć je na pozostałych serwerach.

3. Podejmij odpowiednie działania na tych serwerach, konfigurując czujniki monitorowania.

Niemonitorowane serwery Microsoft Entra Connect

Opis

Niemonitorowane serwery Microsoft Entra Connect (dawniej Azure AD Connect) stanowią znaczące zagrożenie dla bezpieczeństwa w środowiskach tożsamości hybrydowych. Te serwery synchronizują tożsamości między lokalna usługa Active Directory i Tożsamość Entra. Mogą wprowadzać, modyfikować lub usuwać konta i atrybuty, które bezpośrednio wpływają na dostęp do chmury.

Jeśli atakujący naruszy bezpieczeństwo serwera Microsoft Entra Connect, może wprowadzać administratorów w tle, manipulować członkostwem w grupach lub synchronizować złośliwe zmiany z chmurą bez wyzwalania tradycyjnych alertów.

Te serwery działają na przecięciu tożsamości lokalnej i w chmurze, co czyni je głównym celem eskalacji uprawnień i niewidzialnej trwałości. Bez monitorowania takie ataki mogą posunąć się niewykryte. Wdrażanie czujników Microsoft Defender dla tożsamości w wersji 2.0 na serwerach Microsoft Entra Connect ma kluczowe znaczenie. Te czujniki pomagają wykrywać podejrzane działania w czasie rzeczywistym, chronić integralność mostka tożsamości hybrydowej i zapobiegać naruszenia zabezpieczeń w pełnej domenie z jednego punktu awarii.

Implementacja

Uwaga

Ta ocena zabezpieczeń jest dostępna tylko wtedy, gdy Ochrona punktu końcowego w usłudze Microsoft Defender wykryje kwalifikujące się serwery Microsoft Entra Connect w środowisku. W niektórych przypadkach serwery z uruchomioną usługą Entra Connect mogą nie być identyfikowane z wymaganą rolą i dlatego nie będą wyświetlane w tej ocenie, nawet jeśli istnieją w środowisku.

1. Przejrzyj zalecaną akcję pod adresemhttps://security.microsoft.com/securescore?viewid=actions, aby dowiedzieć się, które z serwerów Microsoft Entra Connect są niemonitorowane.

   

2. Przejdź do Microsoft Defender portalu Settings > Identities Sensors (Czujniki tożsamości tożsamości > w portalu > Microsoft Defender). Możesz wyświetlić już zainstalowane czujniki w środowisku i pobrać pakiet instalacyjny, aby wdrożyć je na pozostałych serwerach.

3. Podejmij odpowiednie działania na tych serwerach, konfigurując czujniki monitorowania.

Rozwiązywanie problemów z niezabezpieczonymi konfiguracjami domeny

Opis

Microsoft Defender for Identity stale monitoruje środowisko w celu identyfikowania domen z wartościami konfiguracji, które narażają zagrożenie bezpieczeństwa, oraz raportuje te domeny, aby ułatwić ochronę środowiska.

Organizacje, które nie zabezpieczają swoich konfiguracji domeny, pozostawiają drzwi odblokowane dla złośliwych aktorów.

Złośliwi aktorzy, podobnie jak złodzieje, często szukają najprostszego i najcichszego sposobu w dowolnym środowisku. Domeny skonfigurowane z niezabezpieczonymi konfiguracjami to okna możliwości dla osób atakujących i mogą narazić ryzyko.

Jeśli na przykład podpisywanie LDAP nie jest wymuszane, osoba atakująca może naruszyć konta domeny. Jest to szczególnie ryzykowne, jeśli konto ma uprzywilejowany dostęp do innych zasobów, tak jak w przypadku ataku KrbRelayUp.

Implementacja

1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby dowiedzieć się, które domeny mają niezabezpieczone konfiguracje.

   

2. Wykonaj odpowiednie działania w tych domenach, modyfikując lub usuwając odpowiednie konfiguracje.

3. Użyj korygowania odpowiedniego dla odpowiednich konfiguracji zgodnie z opisem w poniższej tabeli.

   Zalecana akcja	Korygowania	Powód
   Wymuszanie zasad podpisywania LDAP w celu "Wymagaj podpisania"	Zalecamy wymaganie podpisywania protokołu LDAP na poziomie kontrolera domeny. Aby dowiedzieć się więcej na temat podpisywania serwera LDAP, zobacz Wymagania dotyczące podpisywania serwera LDAP kontrolera domeny.	Niepodpisany ruch sieciowy jest podatny na ataki typu man-in-the-middle.
   Ustaw wartość ms-DS-MachineAccountQuota na wartość "0"	Ustaw atrybut MS-DS-Machine-Account-Quota na wartość "0".	Ograniczanie możliwości rejestrowania urządzeń w domenie przez użytkowników nieuprzywilejowanej. Aby uzyskać więcej informacji na temat tej konkretnej właściwości i jej wpływu na rejestrację urządzenia, zobacz Domyślny limit liczby stacji roboczych, do których użytkownik może dołączyć do domeny.

Następne kroki

Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft