Delen via

Beveiligingsevaluatie: Niet-beveiligde domeinconfiguraties

  • Artikel

Wat zijn niet-beveiligde domeinconfiguraties?

Microsoft Defender for Identity bewaakt uw omgeving continu om domeinen te identificeren met configuratiewaarden die een beveiligingsrisico blootstellen en rapporteert over deze domeinen om u te helpen bij het beveiligen van uw omgeving.

Welk risico vormen niet-beveiligde domeinconfiguraties?

Organisaties die hun domeinconfiguraties niet kunnen beveiligen, laten de deur ontgrendeld voor kwaadwillende actoren.

Kwaadwillende actoren, net als dieven, zoeken vaak naar de eenvoudigste en rustigste manier in elke omgeving. Domeinen die zijn geconfigureerd met niet-beveiligde configuraties, zijn kans voor aanvallers en kunnen risico's blootstellen.

Als LDAP-ondertekening bijvoorbeeld niet wordt afgedwongen, kan een aanvaller inbreuk maken op domeinaccounts. Dit is met name riskant als het account bevoegde toegang heeft tot andere resources, net als bij de KrbRelayUp-aanval.

Hoe kan ik deze beveiligingsevaluatie gebruiken?

  1. Bekijk de aanbevolen actie om https://security.microsoft.com/securescore?viewid=actions te ontdekken welke van uw domeinen onbeveiligde configuraties hebben. Review top impacted entities and create an action plan.
  2. Neem de juiste actie op deze domeinen door de relevante configuraties te wijzigen of te verwijderen.

Notitie

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen een paar minuten na de implementatie van de aanbevelingen wordt bijgewerkt, kan de status nog steeds even duren totdat deze is gemarkeerd als Voltooid.

Herstel

Gebruik het herstel dat geschikt is voor de relevante configuraties, zoals beschreven in de volgende tabel.

Aanbevolen actie Herstel Reden
LDAP-ondertekeningsbeleid afdwingen op 'Ondertekening vereisen' U wordt aangeraden LDAP-ondertekening op domeincontrollerniveau te vereisen. Zie de vereisten voor ldap-serverondertekening voor domeincontrollers voor meer informatie over ldap-serverondertekening. Niet-ondertekend netwerkverkeer is vatbaar voor man-in-the-middle-aanvallen.
Ms-DS-MachineAccountQuota instellen op '0' Stel het kenmerk MS-DS-Machine-Account-Quota in op '0'. Het beperken van de mogelijkheid van niet-bevoegde gebruikers om apparaten in het domein te registreren. Zie De standaardlimiet voor het aantal werkstations dat een gebruiker kan toevoegen aan het domein voor meer informatie over deze specifieke eigenschap en hoe deze van invloed is op apparaatregistratie.

Zie ook