تقييم الأمان: تغيير كلمة المرور لحساب تسجيل الدخول الأحادي السلس Microsoft Entra

توضح هذه المقالة تقرير تقييم وضع الأمان لتغيير كلمة مرور Microsoft Entra حساب تسجيل الدخول الأحادي السلس (SSO) Microsoft Defender for Identity.

ملاحظة

لن يتوفر تقييم الأمان هذا إلا إذا تم تثبيت مستشعر Microsoft Defender for Identity على الخوادم التي تعمل Microsoft Entra خدمات الاتصال وطريقة تسجيل الدخول كجزء من تكوين Microsoft Entra تم تعيين الاتصال إلى تسجيل الدخول الأحادي وحساب كمبيوتر SSO موجود. تعرف على المزيد حول Microsoft Entra تسجيل الدخول السلس هنا.

لماذا قد تكون كلمة المرور القديمة لحساب كمبيوتر تسجيل الدخول الأحادي السلس Microsoft Entra خطرا؟

Microsoft Entra تسجيل الدخول الأحادي السلس للمستخدمين تلقائيا عند استخدامهم لأسطح مكتب الشركة المتصلة بشبكة شركتك. يوفر تسجيل الدخول الأحادي السلس للمستخدمين إمكانية الوصول السهل إلى التطبيقات المستندة إلى السحابة دون استخدام أي مكونات محلية أخرى. عند إعداد Microsoft Entra تسجيل الدخول الأحادي السلس، يتم إنشاء حساب كمبيوتر يسمى AZUREADSSOACC في Active Directory. بشكل افتراضي، لا يتم تحديث كلمة المرور لحساب كمبيوتر Azure SSO هذا تلقائيا كل 30 يوما. تعمل كلمة المرور هذه كسر مشترك بين AD Microsoft Entra، ما يتيح Microsoft Entra لفك تشفير تذاكر Kerberos المستخدمة في عملية تسجيل الدخول الأحادي السلس بين Active Directory Microsoft Entra ID. إذا تمكن المهاجم من التحكم في هذا الحساب، يمكنه إنشاء تذاكر خدمة لحساب AZUREADSSOACC نيابة عن أي مستخدم وانتحال شخصية أي مستخدم داخل المستأجر Microsoft Entra الذي تمت مزامنته من Active Directory. قد يسمح هذا للمهاجم بالانتقال أفقيا من Active Directory إلى Microsoft Entra ID.

كيف أعمل استخدام تقييم الأمان هذا لتحسين وضعي الأمني التنظيمي المختلط؟

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actionsلتغيير كلمة المرور لحساب تسجيل الدخول الأحادي السلس Microsoft Entra.

  2. راجع قائمة الكيانات المكشوفة لاكتشاف أي من حسابات كمبيوتر Microsoft Entra SSO تحتوي على كلمة مرور عمرها أكثر من 90 يوما.

  3. اتخذ الإجراء المناسب على هذه الحسابات باتباع الخطوات الموضحة في كيفية تمرير مقالة كلمة مرور حساب Entra SSO .

ملاحظة

بينما يتم تحديث التقييمات في الوقت الفعلي تقريبا، يتم تحديث الدرجات والحالات كل 24 ساعة. بينما يتم تحديث قائمة الكيانات المتأثرة في غضون بضع دقائق من تنفيذ التوصيات، قد تستغرق الحالة وقتا حتى يتم وضع علامة عليها على أنها مكتملة.

الخطوات التالية