Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Saiba mais sobre Microsoft Defender para avaliações da postura de segurança de identidade para a infraestrutura de identidade.
Nota
Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, o estado ainda pode demorar algum tempo até estar marcado como Concluído.
A conta de Convidado do Active Directory incorporada está ativada
Descrição
Esta recomendação indica se uma conta de Convidado do AD está ativada no seu ambiente.
O objetivo é garantir que a conta de Convidado do domínio não está ativada.
Impacto do utilizador
A conta de Convidado no local é uma conta incorporada e não nomeada que permite o acesso anónimo ao Active Directory. Ativar esta conta permite o acesso ao domínio sem a necessidade de uma palavra-passe, o que pode representar uma ameaça à segurança.
Implementação
Reveja a lista de entidades expostas para descobrir se existe uma conta de Convidado, que está ativada.
Tome as medidas adequadas nessas contas ao desativar a conta.
Por exemplo:
Alterar a palavra-passe antiga da conta de computador do Controlador de Domínio
Descrição
Esta recomendação lista todas as contas de computador do controlador de domínio com a palavra-passe definida pela última vez há mais de 45 dias.
Um Controlador de Domínio (DC) é um servidor num ambiente do Active Directory (AD) que gere a autenticação e autorização do utilizador, impõe políticas de segurança e armazena a base de dados do AD. Processa inícios de sessão, verifica permissões e garante o acesso seguro aos recursos de rede. Vários DCs fornecem redundância para elevada disponibilidade.
Os Controladores de Domínio com palavras-passe antigas estão em risco elevado de comprometimento e podem ser mais facilmente assumidos. Os atacantes podem explorar palavras-passe desatualizadas, obter acesso prolongado a recursos críticos e enfraquecer a segurança de rede. Pode indicar um Controlador de domínio que já não está a funcionar no domínio.
Implementação
Verificar Valores de Registo:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange está definido como 0 ou não existe.
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge está definido como 30.
Repor Valores Incorretos:
- Reponha quaisquer valores incorretos para as predefinições.
- Verifique Política de Grupo Objetos (GPOs) para garantir que não substituem estas definições.
Se estes valores estiverem corretos, verifique se o serviço NETLOGON foi iniciado com sc.exe netlogon de consulta.
Valide a Sincronização de Palavras-passe ao Executar nltest /SC_VERIFY: (sendo DomainName o nome NetBIOS do domínio) pode verificar o estado de sincronização e deve apresentar0 0x0 NERR_Success para ambas as verificações.
Sugestão
Para obter mais informações sobre o processo de palavra-passe da conta de computador, veja esta mensagem de blogue sobre o processo de palavra-passe das contas de computador.
Desativar o serviço Spooler de Impressão em controladores de domínio
Descrição
O spooler de impressão é um serviço de software que gere processos de impressão. O spooler aceita tarefas de impressão de computadores e garante que os recursos da impressora estão disponíveis. O spooler também agenda a ordem pela qual as tarefas de impressão são enviadas para a fila de impressão para impressão. Nos primeiros dias dos computadores pessoais, os utilizadores tiveram de esperar até que os ficheiros imprimidos antes de realizarem outras ações. Graças aos spoolers de impressão modernos, a impressão tem agora um impacto mínimo na produtividade geral dos utilizadores.
Embora aparentemente inofensivo, qualquer utilizador autenticado pode ligar-se remotamente ao serviço de spooler de impressão de um controlador de domínio e pedir uma atualização em novas tarefas de impressão. Além disso, os utilizadores podem indicar ao controlador de domínio para enviar a notificação para o sistema com delegação sem restrições. Estas ações testam a ligação e expõem a credencial da conta de computador do controlador de domínio (o spooler de impressão pertence à SYSTEM).
Devido à possibilidade de exposição, os controladores de domínio e os sistemas de administração do Active Directory têm de ter o serviço Spooler de Impressão desativado. A forma recomendada de o fazer é utilizar um Objeto Política de Grupo (GPO).
Embora esta avaliação de segurança se centre nos controladores de domínio, qualquer servidor está potencialmente em risco para este tipo de ataque.
Implementação
Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir qual dos controladores de domínio tem o serviço Spooler de impressão ativado.
Tome as medidas adequadas nos controladores de domínio em risco e remova ativamente o serviço Spooler de impressão manualmente, através de GPO ou de outros tipos de comandos remotos.
Devido à possibilidade de exposição, os controladores de domínio e os sistemas de administração do Active Directory têm de ter o serviço Spooler de Impressão desativado. Corrija este problema específico ao desativar o serviço Spooler de Impressão em todos os servidores que não precisam dele.
Nota
- Certifique-se de que investiga as definições, configurações e dependências do spooler de impressão antes de desativar este serviço e impedir fluxos de trabalho de impressão ativos.
- A função de controlador de domínio adiciona um thread ao serviço spooler que é responsável por executar a eliminação de impressão – removendo os objetos de fila de impressão obsoletos do Active Directory. Por conseguinte, a recomendação de segurança para desativar o serviço Spooler de impressão é uma troca entre a segurança e a capacidade de executar a poda de impressão. Para resolver o problema, deve considerar a eliminação periódica de objetos de fila de impressão obsoletos.
Remover administradores locais em recursos de identidade
Descrição
As contas com controlo indireto sobre um sistema de identidade, como o AD FS, o AD CS, o Active Directory, entre outros, têm os direitos de escalar os seus privilégios no ambiente, o que pode levar à obtenção de acesso Administração domínio ou equivalente.
Todos os administradores locais num sistema de Camada 0 são domínios indiretos Administração do ponto de vista de um atacante.
Implementação
Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actionsPara Remover administradores locais em recursos de identidade.
Por exemplo:
Reveja esta lista de entidades expostas para descobrir quais das suas contas têm direitos de administrador local nos seus recursos de identidade.
Tome as medidas adequadas nessas entidades ao remover os respetivos direitos de acesso privilegiado.
Para obter uma classificação completa, tem de remediar todas as entidades expostas.
Controladores de domínio não monitorizados
Descrição
Uma parte essencial da solução Microsoft Defender para Identidade requer que os sensores sejam implementados em todos os controladores de domínio organizacionais, fornecendo uma vista abrangente para todas as atividades de utilizador de todos os dispositivos.
Por este motivo, o Defender para Identidade monitoriza continuamente o seu ambiente para identificar controladores de domínio sem um sensor do Defender para Identidade instalado e relatórios sobre estes servidores não monitorizados para o ajudar a gerir a cobertura completa do seu ambiente.
Para funcionar com a máxima eficiência, todos os controladores de domínio têm de ser monitorizados com sensores do Defender para Identidade. Organizações que não conseguem remediar controladores de domínio não monitorizados, reduzem a visibilidade no seu ambiente e expõem potencialmente os seus recursos a atores maliciosos.
Implementação
Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais dos controladores de domínio não estão monitorizados.
Tome as medidas adequadas nesses controladores de domínio ao instalar e configurar sensores de monitorização.
Servidores ADCS não monitorizados
Descrição
Os servidores dos Serviços de Certificados do Active Directory (AD CS) não monitorizados representam um risco significativo para a infraestrutura de identidade da sua organização. O AD CS, o backbone da emissão e confiança de certificados, é um destino de valor elevado para os atacantes com o objetivo de escalar privilégios ou falsificar credenciais. Sem uma monitorização adequada, os atacantes podem explorar estes servidores para emitir certificados não autorizados, permitindo movimento lateral furtivo e acesso persistente. Implemente Microsoft Defender para sensores de Identidade versão 2.0 em todos os servidores do AD CS para mitigar este risco. Estes sensores fornecem visibilidade em tempo real sobre atividades suspeitas, detetam ameaças avançadas e geram alertas acionáveis com base em eventos de segurança e comportamento de rede.
Implementação
Nota
Esta avaliação de segurança só está disponível se Microsoft Defender para Endpoint detetar servidores ADCS elegíveis no ambiente. Em alguns casos, os servidores que executam o ADCS podem não ser identificados com a função necessária e, por conseguinte, não aparecerão nesta avaliação, mesmo que existam no ambiente.
Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais dos servidores do AD CS não estão monitorizados.
Aceda aos Sensores de Identidades > das Definições > do portal > do Microsoft Defender. Pode ver os sensores já instalados no seu ambiente e transferir o pacote de instalação para implementá-los nos servidores restantes.
Tome as medidas adequadas nesses servidores ao configurar sensores de monitorização.
Servidores ADFS não monitorizados
Este artigo descreve o Microsoft Defender do relatório de avaliação da postura de segurança dos servidores de segurança Serviços de Federação do Active Directory (AD FS) (ADFS) da Identidade.
Descrição
Os servidores de Serviços de Federação do Active Directory (AD FS) não monitorizados (ADFS) são um risco de segurança significativo para as organizações. O ADFS controla o acesso aos recursos na cloud e no local como gateway para autenticação federada e início de sessão único. Se os atacantes comprometerem um servidor do ADFS, podem emitir tokens falsificados e representar qualquer utilizador, incluindo contas com privilégios. Estes ataques podem ignorar a autenticação multifator (MFA), o acesso condicional e outros controlos de segurança a jusante, tornando-os particularmente perigosos. Sem uma monitorização adequada, a atividade suspeita nos servidores do ADFS pode não ser detetada durante longos períodos. É essencial implementar Microsoft Defender para sensores de Identidade versão 2.0 em servidores ADFS. Estes sensores permitem a deteção em tempo real de comportamento suspeito e ajudam a impedir a falsificação de tokens, o abuso de relações de confiança e o movimento lateral furtivo dentro do ambiente.
Implementação
Nota
Esta avaliação de segurança só está disponível se Microsoft Defender para Endpoint detetar servidores ADFS elegíveis no ambiente. Em alguns casos, os servidores que executam o ADFS podem não ser identificados com a função necessária e, por conseguinte, não aparecerão nesta avaliação, mesmo que existam no ambiente.
Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais dos servidores do ADFS não estão monitorizados.
Aceda aos Sensores de Identidades > das Definições > do portal > do Microsoft Defender. Pode ver os sensores já instalados no seu ambiente e transferir o pacote de instalação para implementá-los nos servidores restantes.
Tome as medidas adequadas nesses servidores ao configurar sensores de monitorização.
Servidores do Microsoft Entra Connect não monitorizados
Descrição
Os servidores Microsoft Entra Connect não monitorizados (anteriormente Azure AD Connect) representam um risco de segurança significativo em ambientes de identidade híbrida. Estes servidores sincronizam identidades entre Active Directory no local e Entra ID. Podem introduzir, modificar ou remover contas e atributos que afetam diretamente o acesso à cloud.
Se um atacante comprometer um servidor do Microsoft Entra Connect, pode injetar administradores sombra, manipular associações a grupos ou sincronizar alterações maliciosas na cloud sem acionar alertas tradicionais.
Estes servidores operam na interseção da identidade no local e na cloud, tornando-os um alvo privilegiado para escalamento de privilégios e persistência furtiva. Sem monitorização, estes ataques podem não ser detetados. É fundamental implementar Microsoft Defender para sensores de Identidade versão 2.0 nos servidores do Microsoft Entra Connect. Estes sensores ajudam a detetar atividades suspeitas em tempo real, a proteger a integridade da ponte de identidade híbrida e a impedir o compromisso de domínio completo de um único ponto de falha.
Implementação
Nota
Esta avaliação de segurança só está disponível se Microsoft Defender para Endpoint detetar servidores Microsoft Entra Connect elegíveis no ambiente. Em alguns casos, os servidores que executam o Entra Connect podem não ser identificados com a função necessária e, portanto, não aparecerão nesta avaliação, mesmo que existam no ambiente.
Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais dos servidores do Microsoft Entra Connect não estão monitorizados.
Aceda aos Sensores de Identidades > das Definições > do portal > do Microsoft Defender. Pode ver os sensores já instalados no seu ambiente e transferir o pacote de instalação para implementá-los nos servidores restantes.
Tome as medidas adequadas nesses servidores ao configurar sensores de monitorização.
Resolver configurações de domínio não seguras
Descrição
Microsoft Defender para Identidade monitoriza continuamente o seu ambiente para identificar domínios com valores de configurações que expõem um risco de segurança e relatórios sobre estes domínios para o ajudar a proteger o seu ambiente.
As organizações que não conseguem proteger as configurações de domínio deixam a porta desbloqueada para atores maliciosos.
Os atores maliciosos, tal como os ladrões, procuram frequentemente a forma mais fácil e silenciosa de entrar em qualquer ambiente. Os domínios configurados com configurações não seguras são janelas de oportunidade para os atacantes e podem expor riscos.
Por exemplo, se a assinatura LDAP não for imposta, um atacante pode comprometer as contas de domínio. Isto é especialmente arriscado se a conta tiver acesso privilegiado a outros recursos, tal como acontece com o ataque KrbRelayUp.
Implementação
Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais dos seus domínios têm configurações não seguras.
Tome as medidas adequadas nestes domínios ao modificar ou remover as configurações relevantes.
Utilize a remediação adequada às configurações relevantes, conforme descrito na tabela seguinte.
Ação recomendada Remediação Motivo Impor a política de Assinatura LDAP a "Exigir assinatura" Recomendamos que necessite de assinatura LDAP ao nível do controlador de domínio. Para saber mais sobre a assinatura do servidor LDAP, veja Requisitos de assinatura do servidor LDAP do controlador de domínio. O tráfego de rede não assinado é suscetível a ataques man-in-the-middle. Defina ms-DS-MachineAccountQuota como "0" Defina o atributo MS-DS-Machine-Account-Quota como "0". Limitar a capacidade de os utilizadores não privilegiados registarem dispositivos no domínio. Para obter mais informações sobre esta propriedade específica e como afeta o registo de dispositivos, veja Limite predefinido para o número de estações de trabalho que um utilizador pode associar ao domínio.