Microsoft Defender for Identity的安全状况评估
通常,各种规模的组织对本地应用和服务是否可能给组织带来安全漏洞的可见性有限。 对于使用不受支持或过时的组件,可见性有限的问题尤其如此。
虽然你的公司可能会投入大量时间和精力来强化标识和标识基础结构 (,例如 Active Directory、Active Directory Connect) 作为正在进行的项目,但很容易不知道常见的错误配置和使用旧组件,这些组件是组织面临的最大威胁风险之一。
Microsoft安全研究表明,大多数标识攻击利用 Active Directory 中的常见错误配置,并继续使用 NTLMv1 协议 () 等旧组件来破坏标识并成功破坏组织。 为了有效地解决此问题,Microsoft Defender for Identity现在提供主动标识安全态势评估,以检测并推荐本地 Active Directory配置中的作。
Defender for Identity 安全评估提供哪些功能?
Defender for Identity 安全状况评估在 Microsoft安全功能分数中提供,并提供:
有关已知可攻击组件和错误配置的检测和上下文数据,以及相关修正路径。
主动监视本地标识和标识基础结构,使用现有 Defender for Identity 传感器监视薄弱环节。
准确评估当前组织安全状况的评估报告,以便在连续的周期内快速响应和效果监视。
Microsoft安全功能分数是衡量组织安全状况的度量值,其数字越大,表示已采取的建议作越多。 可以在 Microsoft Defender 门户中找到https://security.microsoft.com/securescore它。
Defender for Identity 安全状况评估的分类
Defender for Identity 安全状况评估有五个关键类别。 每个类别都解决特定的标识安全风险,并提供修正指南。
- 混合安全性:识别集成本地 (的环境中的错误配置,例如 Active Directory) 和基于云的标识提供者 (例如 Entra ID、Okta) 。 评估与跨平台同步、身份验证和授权相关的风险。
- 标识基础结构:检测核心标识组件(包括域控制器)中的错误配置和漏洞。
- 证书:评估 Active Directory 证书服务 (AD CS) 是否存在安全漏洞,例如配置错误的证书模板或证书颁发机构设置薄弱。 识别和解决这些问题有助于防止证书相关漏洞可能导致未经授权的访问。
- 组策略:分析组策略配置,以确定可能允许特权提升或网络内未经授权的横向移动的设置。 确保安全组策略设置有助于维护适当的访问控制和系统配置。
- 帐户:评审用户、设备和组,以查明安全风险,例如弱密码、非活动帐户或不当权限。
Access Defender for Identity 安全状况评估
注意
必须拥有 Defender for Identity 许可证才能在 Microsoft 安全功能分数中查看 Defender for Identity 安全状况评估。
此外,虽然 证书模板 评估适用于在其环境中安装了 AD CS 的所有客户,但 证书颁发机构 评估仅适用于在 AD CS 服务器上安装了传感器的客户。
只有在运行 Microsoft Entra Connect 服务的服务器上安装了Microsoft Defender for Identity传感器时,混合安全建议才可用。
有关详细信息,请参阅 为 AD FS、AD CS 和 Entra Connect 配置传感器。
若要访问标识安全状况评估,请执行以下作:
选择“ 建议的作 ”选项卡。可以搜索特定的建议作,或 (筛选结果,例如,按类别 标识) 。
有关更多详细信息,请选择评估。
注意
虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响实体的列表在实施建议后的几分钟内更新,但状态可能仍需要一段时间才能标记为 “已完成”。