مشاركة عبر


تقييم الأمان: إزالة أذونات النسخ المتماثل غير الضرورية لحساب Microsoft Entra Connect AD DS Connector

توضح هذه المقالة أذونات النسخ المتماثل غير الضرورية Microsoft Defender for Identity لتقرير تقييم وضع أمان حساب Microsoft Entra Connect (المعروف أيضا باسم Azure AD Connect).

ملاحظة

لن يتوفر تقييم الأمان هذا إلا إذا تم تثبيت مستشعر Microsoft Defender for Identity على الخوادم التي تعمل Microsoft Entra خدمات الاتصال.

بالإضافة إلى ذلك، إذا تم إعداد أسلوب تسجيل الدخول إلى مزامنة تجزئة كلمة المرور (PHS)، فلن تتأثر حسابات AD DS Connector التي لها أذونات النسخ المتماثل لأن هذه الأذونات ضرورية.

لماذا قد يكون حساب Microsoft Entra Connect AD DS Connector مع أذونات النسخ المتماثل غير الضرورية خطرا؟

من المحتمل أن يستهدف المهاجمون الذكيون Microsoft Entra Connect في البيئات المحلية، ولسبب وجيه. يمكن أن يكون خادم Microsoft Entra Connect هدفا أوليا، خاصة استنادا إلى الأذونات المعينة لحساب AD DS Connector (تم إنشاؤه في AD المحلي باستخدام بادئة MSOL_). في التثبيت "السريع" الافتراضي Microsoft Entra Connect، يتم منح حساب خدمة الموصل أذونات النسخ المتماثل، من بين أمور أخرى، لضمان المزامنة المناسبة. إذا لم يتم تكوين مزامنة تجزئة كلمة المرور، فمن المهم إزالة الأذونات غير الضرورية لتقليل سطح الهجوم المحتمل.

كيف أعمل استخدام تقييم الأمان هذا لتحسين وضعي الأمني التنظيمي المختلط؟

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لإزالة أذونات النسخ المتماثل غير الضرورية لحساب Microsoft Entra Connect AD DS Connector.

  2. راجع قائمة الكيانات المكشوفة لاكتشاف أي من حسابات AD DS Connector لديك لديها أذونات النسخ المتماثل غير الضرورية.

  3. اتخذ الإجراء المناسب على هذه الحسابات وقم بإزالة أذونات "تغييرات دليل النسخ المتماثل" و"تغيير دليل النسخ المتماثل الكل" عن طريق إلغاء تحديد الأذونات التالية:

لقطة شاشة لأذونات النسخ المتماثل.

هام

بالنسبة للبيئات التي تحتوي على عدة خوادم Microsoft Entra Connect، من الضروري تثبيت أدوات الاستشعار على كل خادم لضمان قدرة Microsoft Defender for Identity على مراقبة الإعداد بشكل كامل. تم الكشف عن أن تكوين Microsoft Entra Connect لا يستخدم مزامنة تجزئة كلمة المرور، ما يعني أن أذونات النسخ المتماثل ليست ضرورية للحسابات في قائمة الكيانات المكشوفة. بالإضافة إلى ذلك، من المهم التأكد من أن كل حساب MSOL مكشوف غير مطلوب لأذونات النسخ المتماثل من قبل أي تطبيقات أخرى.

ملاحظة

بينما يتم تحديث التقييمات في الوقت الفعلي تقريبا، يتم تحديث الدرجات والحالات كل 24 ساعة. بينما يتم تحديث قائمة الكيانات المتأثرة في غضون بضع دقائق من تنفيذ التوصيات، قد تستغرق الحالة وقتا حتى يتم وضع علامة عليها على أنها مكتملة.

الخطوات التالية