Evaluación de seguridad: cambio de contraseña para la cuenta de SSO de conexión directa de Microsoft Entra

En este artículo se describe el informe de evaluación de la posición de seguridad de cambio de contraseña de la cuenta del inicio de sesión único (SSO) de Microsoft Entra Seamless de Microsoft Defender for Identity.

Nota:

Esta evaluación de seguridad solo estará disponible si el sensor de Microsoft Defender for Identity está instalado en servidores que ejecutan los servicios de Microsoft Entra Connect y el método de inicio de sesión como parte de la configuración de Microsoft Entra Connect está establecido en inicio de sesión único y existe la cuenta de equipo de SSO. Obtenga más información sobre el inicio de sesión único de conexión directa de Microsoft Entra aquí.

¿Por qué es posible que la contraseña antigua de la cuenta de equipo de SSO de conexión directa de Microsoft Entra sea un riesgo?

El inicio de sesión único de conexión directa de Microsoft Entra permite a los usuarios iniciar sesión automáticamente en sus equipos corporativos conectados a la red de su empresa. El SSO de conexión directa proporciona a los usuarios un acceso sencillo a las aplicaciones basadas en la nube sin necesidad de usar otros componentes locales. Al configurar el inicio de sesión único de conexión directa de Microsoft Entra, se crea una cuenta de equipo denominada AZUREADSSOACC en Active Directory. De forma predeterminada, la contraseña de esta cuenta de equipo de SSO de Azure no se actualiza automáticamente cada 30 días. Esta contraseña funciona como un secreto compartido entre AD y Microsoft Entra, lo que permite a Microsoft Entra descifrar vales de Kerberos usados en el proceso de SSO de conexión directa entre Active Directory y Microsoft Entra ID. Si un atacante obtiene el control de esta cuenta, puede generar vales de servicio para la cuenta AZUREADSSOACC en nombre de cualquier usuario y suplantar a cualquier usuario dentro del inquilino de Microsoft Entra que se ha sincronizado desde Active Directory. Esto podría permitir que un atacante se mueva lateralmente de Active Directory a Microsoft Entra ID.

¿Cómo utilizo esta evaluación de seguridad para mejorar la posición de seguridad de mi organización híbrida?

1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para Cambio de contraseña para la cuenta de SSO de conexión directa de Microsoft Entra.

2. Revise la lista de entidades expuestas para descubrir cuáles de las cuentas de equipo de Microsoft Entra SSO tienen una contraseña de más de 90 días de antigüedad.

3. Realice las acciones adecuadas en esas cuentas siguiendo los pasos descritos en el artículo sobre cómo cambiar la contraseña de la cuenta del conector de AD DS.

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza en unos minutos tras aplicar las acciones recomendadas, el estado puede tardar un tiempo hasta que se marque como Completado.

Pasos siguientes

• Obtener más información acerca de la puntuación de seguridad de Microsoft

• Más información sobre el sensor de Defender for Identity para Microsoft Entra Connect