Compartir a través de

Evaluaciones de la posición de seguridad híbrida

En este artículo se enumeran todas las evaluaciones de la posición de seguridad híbrida para Microsoft Defender de identidad.

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza a los pocos minutos de la implementación de las recomendaciones, el estado todavía puede tardar tiempo hasta que se marca como Completado.

Cambio de contraseña para Microsoft Entra cuenta de SSO de conexión directa

Descripción

En este informe se enumeran todas las Microsoft Entra cuentas de equipo sso sin conexión con contraseña establecidas por última vez hace más de 90 días.

Impacto en el usuario

Microsoft Entra inicio de sesión único de conexión directa inicia sesión automáticamente en los usuarios cuando usan sus escritorios corporativos que están conectados a la red corporativa. El inicio de sesión único de conexión directa proporciona a los usuarios un fácil acceso a las aplicaciones basadas en la nube sin usar ningún otro componente local. Al configurar Microsoft Entra sso de conexión directa, se crea una cuenta de equipo denominada AZUREADSSOACC en Active Directory. De forma predeterminada, la contraseña de esta Azure cuenta de equipo de SSO no se actualiza automáticamente cada 30 días. Esta contraseña funciona como un secreto compartido entre AD y Microsoft Entra, lo que permite que Microsoft Entra descifre los vales de Kerberos usados en el proceso de inicio de sesión único sin problemas entre Active Directory y Microsoft Entra id. Si un atacante obtiene el control de esta cuenta, puede generar vales de servicio para la cuenta de AZUREADSSOACC en nombre de cualquier usuario y suplantar a cualquier usuario dentro del inquilino de Microsoft Entra que se haya sincronizado desde

Implementación

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actionscambio de contraseña para Microsoft Entra cuenta de SSO de conexión directa.

  2. Revise la lista de entidades expuestas para detectar cuál de las cuentas de equipo de SSO de Microsoft Entra tiene una contraseña de más de 90 días de antigüedad.

  3. Realice las acciones adecuadas en esas cuentas siguiendo los pasos descritos en el artículo sobre la implementación de la contraseña de la cuenta de SSO de Microsoft Entra.

Nota:

Esta evaluación de seguridad solo está disponible si Microsoft Defender para el sensor de identidad está instalado en servidores que ejecutan los servicios Microsoft Entra Connect y el método de inicio de sesión como parte de la configuración de Microsoft Entra Connect se establece en inicio de sesión único y existe la cuenta de equipo de SSO. Obtenga más información sobre Microsoft Entra inicio de sesión sin problemas aquí.

Rotación de la contraseña de Microsoft Entra cuenta del conector de CONNECT AD DS

Descripción

En este informe se enumeran todas las cuentas de MSOL de su organización con la contraseña establecida por última vez hace más de 90 días.

Impacto en el usuario

Es probable que los atacantes inteligentes tengan como destino Microsoft Entra Conectar en entornos locales y, por buenas razones. El servidor de Microsoft Entra Connect puede ser un destino principal, especialmente en función de los permisos asignados a la cuenta del conector de AD DS (creado en AD local con el prefijo MSOL_).

Es importante cambiar la contraseña de las cuentas de MSOL cada 90 días para evitar que los atacantes permitan el uso de los privilegios elevados que suele tener la cuenta del conector: permisos de replicación, restablecimiento de contraseña, etc.

Implementación

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actionsGirar contraseña para Microsoft Entra cuenta del conector de AD DS.

  2. Revise la lista de entidades expuestas para detectar cuál de las cuentas del conector de AD DS tiene una contraseña de más de 90 días de antigüedad.

  3. Realice las acciones adecuadas en esas cuentas siguiendo los pasos para cambiar la contraseña de la cuenta del conector de AD DS.

Nota:

Esta evaluación de seguridad solo está disponible si Microsoft Defender para el sensor de identidad está instalado en servidores que ejecutan Microsoft Entra servicios Connect.

Eliminación de permisos de replicación innecesarios para Microsoft Entra cuenta del conector de CONNECT AD DS

Descripción

Es probable que los atacantes inteligentes tengan como destino Microsoft Entra Conectar en entornos locales y, por buenas razones. El servidor de Microsoft Entra Connect puede ser un destino principal, especialmente en función de los permisos asignados a la cuenta del conector de AD DS (creado en AD local con el prefijo MSOL_). En la instalación "express" predeterminada de Microsoft Entra Connect, a la cuenta de servicio del conector se le conceden permisos de replicación, entre otros, para garantizar la sincronización adecuada. Si la sincronización de hash de contraseña no está configurada, es importante quitar permisos innecesarios para minimizar la posible superficie expuesta a ataques.

Nota:

  • Esta evaluación de seguridad solo está disponible si Microsoft Defender para el sensor de identidad está instalado en servidores que ejecutan Microsoft Entra servicios connect.

  • Si el método de inicio de sesión de Sincronización de hash de contraseña (PHS) está configurado, las cuentas del conector de AD DS con permisos de replicación no se verán afectadas porque esos permisos son necesarios.

  • En entornos con varios servidores Microsoft Entra Connect, es fundamental instalar sensores en cada servidor para garantizar que Microsoft Defender for Identity pueda supervisar completamente la configuración. Si se detecta que la configuración de Microsoft Entra Connect no usa la sincronización de hash de contraseñas, lo que significa que los permisos de replicación no son necesarios para las cuentas de la lista Entidades expuestas. Asegúrese de que ninguna otra aplicación requiera cada cuenta de MSOL expuesta para los permisos de replicación.

Implementación

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions Para quitar permisos de replicación innecesarios para Microsoft Entra cuenta del conector de Connect AD DS.

  2. Revise la lista de entidades expuestas para detectar cuáles de las cuentas del conector de AD DS tienen permisos de replicación innecesarios.

  3. Realice las acciones adecuadas en esas cuentas y quite sus permisos "Cambios en el directorio de replicación" y "Cambios en el directorio de replicación", desactivando los permisos siguientes:

Captura de pantalla que muestra la lista de permisos para Microsoft Entra Connect.

Eliminación de permisos no seguros en cuentas confidenciales Microsoft Entra Connect

Descripción

Microsoft Entra cuentas de Connect, como la cuenta del conector de AD DS (también conocida como MSOL_) y Microsoft Entra cuenta de equipo de SSO de conexión directa (AZUREADSSOACC) tienen privilegios eficaces, incluidos los derechos de replicación y restablecimiento de contraseña. Si a estas cuentas se les conceden permisos no seguros, los atacantes podrían aprovecharlas para obtener acceso no autorizado, escalar privilegios o tomar el control de la infraestructura de identidad híbrida. Esto podría dar lugar a tomas de cuenta, modificaciones de directorios no autorizadas y un compromiso más amplio de los entornos locales y en la nube.

Nota:

Esta evaluación de seguridad solo estará disponible si Microsoft Defender para el sensor de identidad está instalado en servidores que ejecutan Microsoft Entra servicios connect y el método de inicio de sesión como parte de Microsoft Entra La configuración de Connect está establecida en inicio de sesión único y existe la cuenta de equipo de SSO. Obtenga más información sobre Microsoft Entra inicio de sesión sin problemas aquí.

Implementación

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions Para quitar permisos no seguros en cuentas confidenciales de Microsoft Entra Connect.

  2. Revise la lista de entidades expuestas para identificar cuentas con permisos no seguros. Por ejemplo:

    Captura de pantalla de las entidades expuestas.

  3. Si selecciona "Haga clic para expandir", puede encontrar más detalles sobre los permisos concedidos. Por ejemplo:

    Captura de pantalla de permisos excesivos

  4. Para cada cuenta expuesta, quite los permisos problemáticos que permiten a las cuentas sin privilegios asumir recursos híbridos críticos.

Reemplazar una cuenta de Administración de dominio o de empresa para Microsoft Entra cuenta del conector de CONNECT AD DS

Descripción

Los atacantes inteligentes a menudo tienen como destino Microsoft Entra Conectar en entornos locales debido a los privilegios elevados asociados a su cuenta del conector de AD DS (normalmente se crean en Active Directory con el prefijo MSOL_). El uso de una cuenta de Administración enterprise o dominio Administración para este fin aumenta significativamente la superficie expuesta a ataques, ya que estas cuentas tienen un amplio control sobre el directorio.

A partir de la compilación 1.4.###.#de Entra Connect, las cuentas enterprise Administración y domain Administración ya no se pueden usar como cuenta del conector de AD DS. Este procedimiento recomendado impide el privilegio excesivo de la cuenta del conector, lo que reduce el riesgo de peligro para todo el dominio si los atacantes tienen como destino la cuenta. Las organizaciones ahora deben crear o asignar una cuenta con privilegios inferiores específicamente para la sincronización de directorios, lo que garantiza un mejor cumplimiento del principio de privilegios mínimos y la protección de las cuentas de administrador críticas.

Nota:

Esta evaluación de seguridad solo estará disponible si Microsoft Defender para el sensor de identidad está instalado en servidores que ejecutan Microsoft Entra servicios Connect.

Implementación

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions Replace Enterprise or Domain Administración account for Microsoft Entra Connect AD DS Connector account (Reemplazar cuenta de enterprise o dominio Administración para Microsoft Entra cuenta del conector de Connect AD DS).

  2. Revise las cuentas expuestas y sus pertenencias a grupos. La lista contiene miembros de administradores de dominio o empresa a través de la pertenencia directa y recursiva.

  3. Realice una de las acciones siguientes:

    • Quite MSOL_ usuario de la cuenta de usuario de grupos con privilegios, lo que garantiza que conserva los permisos necesarios para funcionar como la cuenta de Microsoft Entra Connect Connector.

    • Cambie la cuenta Microsoft Entra Connect AD DS Connector (MSOL_) a una cuenta con privilegios inferiores.

Pasos siguientes

Más información sobre la puntuación segura de Microsoft

  • Last updated on