Avaliação de segurança: configurações de domínio não seguras
O que são configurações de domínio não seguras?
O Microsoft Defender for Identity monitora continuamente seu ambiente para identificar domínios com valores de configuração que expõem um risco de segurança e relatórios sobre esses domínios para ajudá-lo a proteger seu ambiente.
Que risco representam as configurações de domínio não seguras?
As organizações que não conseguem proteger suas configurações de domínio deixam a porta destrancada para atores mal-intencionados.
Atores mal-intencionados, assim como ladrões, muitas vezes procuram a maneira mais fácil e silenciosa de entrar em qualquer ambiente. Domínios configurados com configurações não seguras são janelas de oportunidade para invasores e podem expor riscos.
Por exemplo, se a assinatura LDAP não for imposta, um invasor poderá comprometer contas de domínio. Isso é especialmente arriscado se a conta tiver acesso privilegiado a outros recursos, como no ataque KrbRelayUp.
Como posso utilizar esta avaliação de segurança?
- Analise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais dos seus domínios têm configurações não seguras.
- Tome as medidas apropriadas nesses domínios, modificando ou removendo as configurações relevantes.
Nota
Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.
Remediação
Use a correção apropriada para as configurações relevantes, conforme descrito na tabela a seguir.
Ação recomendada | Remediação | Razão |
---|---|---|
Aplique a política de assinatura LDAP para "Exigir assinatura" | Recomendamos que você exija a assinatura LDAP no nível do controlador de domínio. Para saber mais sobre a assinatura do servidor LDAP, consulte Requisitos de assinatura do servidor LDAP do controlador de domínio. | O tráfego de rede não assinado é suscetível a ataques man-in-the-middle. |
Defina ms-DS-MachineAccountQuota como "0" | Defina o atributo MS-DS-Machine-Account-Quota como "0". | Limitar a capacidade de usuários não privilegiados registrarem dispositivos no domínio. Para obter mais informações sobre essa propriedade específica e como ela afeta o registro do dispositivo, consulte Limite padrão para o número de estações de trabalho que um usuário pode ingressar no domínio. |