Microsoft Defender for Identity 的安全状况评估

通常,各种规模的组织对其本地应用和服务能否在其组织中引入安全漏洞的可见性有限。 在使用不受支持或过时的组件时,尤其会暴漏出有限可见性带来的问题。

虽然公司可能会花费大量时间和精力来持续强化标识和标识基础结构(例如 Active Directory、Active Directory Connect),但很容易忽略常见的错误配置和使用旧组件代表组织面临的最大威胁风险之一。

Microsoft 安全研究表明,大多数标识攻击利用 Active Directory 中的常见错误配置和持续使用的旧组件(如 NTLMv1 协议)来入侵标识并成功破坏组织。 为了有效地防止此类情况,Microsoft Defender for Identity 现在提供了主动式身份安全状态评估,以在本地 Active Directory 配置中检测并推荐操作。

Defender for Identity 安全评估提供什么?

Defender for Identity 的安全状况评估在 Microsoft 安全功能分数提供,并提供:

  • 有关已知可利用组件和错误配置的检测和上下文数据 ,以及修正的相关路径。

  • 对本地标识和标识基础结构进行主动监视,并监视现有 Defender for Identity 传感器的弱点。

  • 准确评估当前组织安全状况的报告 ,以便在持续周期内快速响应和影响监视。

Microsoft 安全功能分数是组织安全状况的度量值,数字越大表示执行的建议操作越多。 可在 Microsoft Defender 门户https://security.microsoft.com/securescore 中找到此功能。

Access Defender for Identity 安全状况评估

必须具有 Defender for Identity 许可证才能在 Microsoft 安全功能分数中查看 Defender for Identity 安全状况评估。

虽然 证书模板 评估适用于在其环境中安装了 AD CS 的所有客户, 但证书颁发机构 评估仅适用于在 AD CS 服务器上安装了传感器的客户。 有关详细信息,请参阅为 AD FS 和 AD CS 配置传感器

访问标识安全状况评估

  1. 打开 Microsoft 安全功能分数仪表板

  2. 选择建议的操作选项卡。可以搜索特定的建议操作,或筛选结果(例如,按类别标识)。

    Recommended actions.

  3. 有关更多详细信息,选择评估。

    Select the assessment.

注意

虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响的实体列表在实施建议后的几分钟内更新,但状态可能需要一段时间才能将其标记为 “已完成”。

报告显示过去 30 天内受影响的实体。 之后,不再受影响的实体将从公开的实体列表中移除。

后续步骤