Partilhar via

Avaliação de segurança: configurações de domínio não seguras

  • Artigo

O que são configurações de domínio não seguras?

O Microsoft Defender for Identity monitora continuamente seu ambiente para identificar domínios com valores de configuração que expõem um risco de segurança e relatórios sobre esses domínios para ajudá-lo a proteger seu ambiente.

Que risco representam as configurações de domínio não seguras?

As organizações que não conseguem proteger suas configurações de domínio deixam a porta destrancada para atores mal-intencionados.

Atores mal-intencionados, assim como ladrões, muitas vezes procuram a maneira mais fácil e silenciosa de entrar em qualquer ambiente. Domínios configurados com configurações não seguras são janelas de oportunidade para invasores e podem expor riscos.

Por exemplo, se a assinatura LDAP não for imposta, um invasor poderá comprometer contas de domínio. Isso é especialmente arriscado se a conta tiver acesso privilegiado a outros recursos, como no ataque KrbRelayUp.

Como posso utilizar esta avaliação de segurança?

  1. Analise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais dos seus domínios têm configurações não seguras. Review top impacted entities and create an action plan.
  2. Tome as medidas apropriadas nesses domínios, modificando ou removendo as configurações relevantes.

Nota

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Remediação

Use a correção apropriada para as configurações relevantes, conforme descrito na tabela a seguir.

Ação recomendada Remediação Razão
Aplique a política de assinatura LDAP para "Exigir assinatura" Recomendamos que você exija a assinatura LDAP no nível do controlador de domínio. Para saber mais sobre a assinatura do servidor LDAP, consulte Requisitos de assinatura do servidor LDAP do controlador de domínio. O tráfego de rede não assinado é suscetível a ataques man-in-the-middle.
Defina ms-DS-MachineAccountQuota como "0" Defina o atributo MS-DS-Machine-Account-Quota como "0". Limitar a capacidade de usuários não privilegiados registrarem dispositivos no domínio. Para obter mais informações sobre essa propriedade específica e como ela afeta o registro do dispositivo, consulte Limite padrão para o número de estações de trabalho que um usuário pode ingressar no domínio.

Consulte Também