Güvenlik değerlendirmesi: Güvenli olmayan etki alanı yapılandırmaları
Güvenli olmayan etki alanı yapılandırmaları nelerdir?
Kimlik için Microsoft Defender, güvenlik riskini ortaya çıkaran yapılandırma değerlerine sahip etki alanlarını belirlemek için ortamınızı sürekli izler ve ortamınızı korumanıza yardımcı olmak için bu etki alanlarında raporlar.
Güvenli olmayan etki alanı yapılandırmaları hangi riski oluşturur?
Etki alanı yapılandırmalarının güvenliğini sağlayemeyen kuruluşlar, kötü amaçlı aktörler için kapıyı açık bırakır.
Hırsızlara çok benzeyen kötü niyetli aktörler genellikle herhangi bir ortama en kolay ve en sessiz yolu ararlar. Güvenli olmayan yapılandırmalarla yapılandırılan etki alanları, saldırganlar için fırsat pencereleridir ve riskleri ortaya çıkarabilir.
Örneğin, LDAP imzalama zorlanmazsa, saldırgan etki alanı hesaplarını tehlikeye atabilir. Bu, özellikle hesabın KrbRelayUp saldırısında olduğu gibi diğer kaynaklara ayrıcalıklı erişimi varsa risklidir.
Bu güvenlik değerlendirme Nasıl yaparım? kullanılır?
- Hangi etki alanlarınızın güvenli olmayan yapılandırmalara sahip olduğunu bulmak için 'de https://security.microsoft.com/securescore?viewid=actions önerilen eylemi gözden geçirin.
- İlgili yapılandırmaları değiştirerek veya kaldırarak bu etki alanlarında uygun eylemleri gerçekleştirin.
Dekont
Değerlendirmeler neredeyse gerçek zamanlı olarak güncelleştirilirken, puanlar ve durumlar 24 saatte bir güncelleştirilir. Etkilenen varlıkların listesi, önerileri uyguladıktan sonra birkaç dakika içinde güncelleştirilse de, durum Tamamlandı olarak işaretlenmesi yine de zaman alabilir.
Düzeltme
Aşağıdaki tabloda açıklandığı gibi ilgili yapılandırmalara uygun düzeltmeyi kullanın.
Önerilen eylem | Düzeltme | Nedeni |
---|---|---|
LDAP İmzalama ilkesini "İmzalama gerektir" olarak zorunlu kılma | Etki alanı denetleyicisi düzeyinde LDAP imzalamaya ihtiyacınız olmasını öneririz. LDAP sunucusu imzalama hakkında daha fazla bilgi edinmek için bkz . Etki alanı denetleyicisi LDAP sunucusu imzalama gereksinimleri. | İmzasız ağ trafiği ortadaki adam saldırılarına duyarlıdır. |
ms-DS-MachineAccountQuota değerini "0" olarak ayarlayın | MS-DS-Machine-Account-Quota özniteliğini "0" olarak ayarlayın. | Ayrıcalıklı olmayan kullanıcıların cihazları etki alanına kaydetme yeteneğini sınırlama. Bu özellik ve cihaz kaydını nasıl etkilediği hakkında daha fazla bilgi için bkz . Kullanıcının etki alanına katabileceği iş istasyonu sayısı için varsayılan sınır. |