Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сведения о Microsoft Defender для оценки состояния безопасности удостоверений для инфраструктуры удостоверений.
Примечание.
Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.
Встроенная гостевая учетная запись Active Directory включена
Описание
Эта рекомендация указывает, включена ли гостевая учетная запись AD в вашей среде.
Цель — убедиться , что учетная запись гостевого домена не включена.
Влияние на пользователей
Локальная гостевая учетная запись — это встроенная, не назначаемая учетная запись, которая обеспечивает анонимный доступ к Active Directory. Включение этой учетной записи разрешает доступ к домену без необходимости ввода пароля, что может представлять угрозу безопасности.
Реализация
Просмотрите список доступных сущностей, чтобы узнать, есть ли учетная запись гостя, которая включена.
Выполните соответствующие действия с этими учетными записями, отключив учетную запись.
Например:
Изменение старого пароля учетной записи компьютера контроллера домена
Описание
Эта рекомендация содержит список всех учетных записей компьютеров контроллера домена с паролем, который последний раз был задан более 45 дней назад.
Контроллер домена — это сервер в среде Active Directory (AD), который управляет проверкой подлинности и авторизацией пользователей, применяет политики безопасности и сохраняет базу данных AD. Он обрабатывает имена входа, проверяет разрешения и обеспечивает безопасный доступ к сетевым ресурсам. Несколько контроллеров домена обеспечивают избыточность для обеспечения высокого уровня доступности.
Контроллеры домена со старыми паролями подвергаются повышенному риску компрометации и могут быть легко захвачены. Злоумышленники могут использовать устаревшие пароли, получая длительный доступ к критически важным ресурсам и ослабляя сетевую безопасность. Он может указывать на контроллер домена, который больше не работает в домене.
Реализация
Проверка значений реестра:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange имеет значение 0 или не существует.
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge имеет значение 30.
Сброс неправильных значений:
- Сбросьте все неверные значения до параметров по умолчанию.
- Проверьте групповая политика объекты (GPO), чтобы убедиться, что они не переопределяют эти параметры.
Если эти значения верны, проверка, если служба NETLOGON запущена с sc.exe netlogon.
Проверка синхронизации паролей путем выполнения nltest /SC_VERIFY: (имя_домена — имя домена NetBIOS) может проверка состояние синхронизации и должно отображаться0 0x0 NERR_Success для обеих проверок.
Совет
Дополнительные сведения о процессе ввода пароля учетной записи компьютера проверка этой записи блога о процессе ввода пароля учетных записей компьютера.
Отключение службы очереди печати на контроллерах домена
Описание
Диспетчер очереди печати — это программная служба, которая управляет процессами печати. Диспетчер очереди принимает задания печати с компьютеров и проверяет доступность ресурсов принтера. Диспетчер очереди также планирует порядок отправки заданий печати в очередь печати для печати. В первые дни личных компьютеров пользователям приходилось ждать, пока не будут напечатаны файлы, прежде чем выполнять другие действия. Благодаря современным спулям печати печать теперь оказывает минимальное влияние на общую производительность пользователей.
Хотя любой прошедший проверку подлинности пользователь может удаленно подключиться к службе очереди печати контроллера домена и запросить обновление новых заданий печати. Кроме того, пользователи могут указать контроллеру домена отправить уведомление в систему с неограниченным делегированием. Эти действия проверяют подключение и предоставляют учетные данные учетной записи компьютера контроллера домена (диспетчер очереди печати принадлежит SYSTEM).
Из-за возможности уязвимости контроллеры домена и системы администрирования Active Directory должны отключить службу очереди печати . Для этого рекомендуется использовать объект групповая политика (GPO).
Хотя эта оценка безопасности сосредоточена на контроллерах домена, любой сервер потенциально подвержен риску такого типа атаки.
Реализация
Просмотрите рекомендуемое действие, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, на каком из контроллеров домена включена служба очереди печати .
Выполните соответствующие действия на контроллерах домена, подверженных риску, и активно удалите службу очереди печати вручную, с помощью объекта групповой политики или других типов удаленных команд.
Из-за возможности уязвимости контроллеры домена и системы администрирования Active Directory должны отключить службу очереди печати . Устраните эту проблему, отключив службу очереди печати на всех серверах, для которых она не требуется.
Примечание.
- Перед отключением этой службы и предотвращением активных рабочих процессов печати обязательно изучите параметры, конфигурации и зависимости очереди печати.
- Роль контроллера домена добавляет поток в службу очереди , которая отвечает за выполнение обрезки печати. Это приводит к удалению устаревших объектов очереди печати из Active Directory. Таким образом, рекомендация по безопасности для отключения службы очереди печати является компромиссом между безопасностью и возможностью выполнения обрезки печати. Чтобы устранить эту проблему, следует рассмотреть возможность периодической обрезки устаревших объектов очереди печати.
Удаление локальных администраторов в ресурсах удостоверений
Описание
Учетные записи с косвенным контролем над системой удостоверений, такие как AD FS, AD CS, Active Directory и т. д., имеют права на повышение своих привилегий в среде, что может привести к получению доступа к домену Администратор или эквивалента.
Каждый локальный администратор в системе уровня 0 является непрямым доменом, Администратор с точки зрения злоумышленника.
Реализация
Ознакомьтесь с рекомендуемыми действиями в разделе https://security.microsoft.com/securescore?viewid=actionsУдаление локальных администраторов в ресурсах удостоверений.
Например:
Просмотрите этот список открытых сущностей, чтобы узнать, какие из ваших учетных записей имеют права локального администратора в ресурсах удостоверений.
Выполните соответствующие действия с этими сущностями, удалив их привилегированные права доступа.
Чтобы получить полную оценку, необходимо исправить все предоставляемые сущности.
Неуправляемые контроллеры домена
Описание
Важная часть решения Microsoft Defender для удостоверений требует, чтобы его датчики развертывались на всех контроллерах домена организации, предоставляя полное представление обо всех действиях пользователей с каждого устройства.
По этой причине Defender для удостоверений постоянно отслеживает среду, чтобы идентифицировать контроллеры домена без установленного датчика Defender для удостоверений, а также сообщает об этих неуправляемых серверах, чтобы помочь вам управлять полным охватом вашей среды.
Чтобы работать с максимальной эффективностью, все контроллеры домена должны отслеживаться с помощью датчиков Defender для удостоверений. Организации, которые не могут исправить неустраненные контроллеры домена, снижают видимость своей среды и потенциально предоставляют свои ресурсы злоумышленникам.
Реализация
Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какой из контроллеров домена не отслеживается.
Выполните соответствующие действия на этих контроллерах домена, установив и настроив датчики мониторинга.
Неуправляемые серверы ADCS
Описание
Неуправляемые серверы служб сертификатов Active Directory (AD CS) представляют значительный риск для инфраструктуры удостоверений вашей организации. AD CS, основа выдачи сертификатов и доверия, — это ценная цель для злоумышленников, стремятся повысить привилегии или подделать учетные данные. Без надлежащего мониторинга злоумышленники могут использовать эти серверы для выдачи несанкционированных сертификатов, обеспечивая скрытое боковое перемещение и постоянный доступ. Разверните Microsoft Defender для датчиков удостоверений версии 2.0 на всех серверах AD CS, чтобы снизить этот риск. Эти датчики обеспечивают видимость подозрительных действий в режиме реального времени, обнаруживают расширенные угрозы и создают практические оповещения на основе событий безопасности и сетевого поведения.
Реализация
Примечание.
Эта оценка безопасности доступна только в том случае, если Microsoft Defender для конечной точки обнаруживает подходящие серверы ADCS в среде. В некоторых случаях серверы под управлением ADCS могут не быть идентифицированы с требуемой ролью и поэтому не будут отображаться в этой оценке, даже если они существуют в среде.
Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какой из серверов AD CS не отслеживается.
Перейдите на портал > Microsoft Defender Параметры > Датчики > удостоверений. Вы можете просмотреть уже установленные датчики в своей среде и скачать пакет установки, чтобы развернуть их на оставшихся серверах.
Выполните соответствующие действия на этих серверах , настроив датчики мониторинга.
Неуправляемые серверы ADFS
В этой статье описывается Microsoft Defender для отчета об оценке состояния безопасности серверов ADFS с неотредимым службы федерации Active Directory (AD FS) удостоверений.
Описание
Неуправляемые серверы службы федерации Active Directory (AD FS) (ADFS) представляют собой значительный риск для безопасности для организаций. ADFS управляет доступом к облачным и локальным ресурсам в качестве шлюза для федеративной проверки подлинности и единого входа. Если злоумышленники компрометируют сервер ADFS, они могут выдать поддельные маркеры и олицетворить любого пользователя, включая привилегированные учетные записи. Такие атаки могут обходить многофакторную проверку подлинности (MFA), условный доступ и другие подчиненные элементы управления безопасностью, что делает их особенно опасными. Без надлежащего мониторинга подозрительные действия на серверах ADFS могут быть незамеченными в течение длительного периода времени. Развертывание Microsoft Defender для датчиков удостоверений версии 2.0 на серверах ADFS имеет важное значение. Эти датчики обеспечивают обнаружение подозрительного поведения в режиме реального времени и помогают предотвратить подделку маркеров, злоупотребление отношениями доверия и скрытное боковое перемещение в среде.
Реализация
Примечание.
Эта оценка безопасности доступна только в том случае, если Microsoft Defender для конечной точки обнаруживает подходящие серверы ADFS в среде. В некоторых случаях серверы под управлением ADFS могут не быть идентифицированы с требуемой ролью и поэтому не будут отображаться в этой оценке, даже если они существуют в среде.
Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какой из серверов ADFS не отслеживается.
Перейдите на портал > Microsoft Defender Параметры > Датчики > удостоверений. Вы можете просмотреть уже установленные датчики в своей среде и скачать пакет установки, чтобы развернуть их на оставшихся серверах.
Выполните соответствующие действия на этих серверах , настроив датчики мониторинга.
Неуправляемые серверы Microsoft Entra Connect
Описание
Неуправляемые серверы Microsoft Entra Connect (ранее Azure AD Connect) представляют значительную угрозу безопасности в гибридных средах удостоверений. Эти серверы синхронизируют удостоверения между локальная служба Active Directory и Entra ID. Они могут вводить, изменять или удалять учетные записи и атрибуты, непосредственно влияющие на доступ к облаку.
Если злоумышленник скомпрометирует сервер Microsoft Entra Connect, он может внедрить теневых администраторов, управлять членством в группах или синхронизировать вредоносные изменения в облако без активации традиционных оповещений.
Эти серверы работают на пересечении локальных и облачных удостоверений, что делает их основной целью для повышения привилегий и скрытого сохранения. Без мониторинга такие атаки могут быть незамеченными. Развертывание Microsoft Defender для датчиков Identity версии 2.0 на серверах Microsoft Entra Connect имеет решающее значение. Эти датчики помогают обнаруживать подозрительные действия в режиме реального времени, защищать целостность моста гибридных удостоверений и предотвращать компрометацию всего домена из одной точки сбоя.
Реализация
Примечание.
Эта оценка безопасности доступна только в том случае, если Microsoft Defender для конечной точки обнаруживает подходящие серверы Microsoft Entra Connect в среде. В некоторых случаях серверы под управлением Entra Connect могут не быть идентифицированы с требуемой ролью и поэтому не будут отображаться в этой оценке, даже если они существуют в среде.
Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какой из серверов Microsoft Entra Connect не отслеживается.
Перейдите на портал > Microsoft Defender Параметры > Датчики > удостоверений. Вы можете просмотреть уже установленные датчики в своей среде и скачать пакет установки, чтобы развернуть их на оставшихся серверах.
Выполните соответствующие действия на этих серверах , настроив датчики мониторинга.
Устранение небезопасных конфигураций домена
Описание
Microsoft Defender для удостоверений постоянно отслеживает среду, чтобы определить домены со значениями конфигураций, которые подвергаются риску безопасности, и сообщает об этих доменах, чтобы помочь вам защитить среду.
Организации, которые не могут защитить свои конфигурации домена, оставляют дверь разблокирована для злоумышленников.
Злонамеренные актеры, как и воры, часто ищут самый простой и тихий путь в любую среду. Домены, настроенные с небезопасными конфигурациями, являются окнами возможностей для злоумышленников и могут подвергать риску.
Например, если подписывание LDAP не применяется, злоумышленник может взломать учетные записи домена. Это особенно опасно, если учетная запись имеет привилегированный доступ к другим ресурсам, как при атаке KrbRelayUp.
Реализация
Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какой из ваших доменов имеет небезопасные конфигурации.
Выполните соответствующие действия в этих доменах, изменив или удалив соответствующие конфигурации.
Используйте исправление, соответствующее соответствующим конфигурациям, как описано в следующей таблице.
Рекомендуемое действие Исправление Reason Принудительное применение политики подписывания LDAP для параметра "Требовать подписывание" Рекомендуется требовать подписывание LDAP на уровне контроллера домена. Дополнительные сведения о подписывание сервера LDAP см. в статье Требования к подписыванию ldap-сервера контроллера домена. Неподписанный сетевой трафик подвержен атакам "злоумышленник в середине". Задайте для ms-DS-MachineAccountQuota значение "0" Задайте для атрибута MS-DS-Machine-Account-Quota значение 0. Ограничение возможности пользователей, не являющихся привилегированными, регистрировать устройства в домене. Дополнительные сведения об этом свойстве и его влияние на регистрацию устройств см. в статье Ограничение по умолчанию на количество рабочих станций, которые пользователь может присоединить к домену.