Evaluación de seguridad: eliminación de permisos de replicación innecesarios para la cuenta del conector de AD DS de Microsoft Entra Connect

En este artículo se describen los permisos de replicación innecesarios de Microsoft Defender for Identity para el informe de evaluación de la posición de seguridad de la cuenta del conector de AD DS de Microsoft Entra Connect (también conocido como Azure AD Connect).

Nota:

Esta evaluación de seguridad solo estará disponible si el sensor de Microsoft Defender for Identity está instalado en servidores que ejecutan los servicios de Microsoft Entra Connect.

Además, si el método de inicio de sesión de Sincronización de hash de contraseñas (PHS) está configurado, las cuentas del conector de AD DS con permisos de replicación no se verán afectadas porque esos permisos son necesarios.

¿Por qué puede que la cuenta del conector de AD DS de Microsoft Entra Connect con permisos de replicación innecesarios sea un riesgo?

Es probable que los atacantes inteligentes tengan como destino Microsoft Entra Connect en entornos locales, por una buena razón. El servidor de Microsoft Entra Connect puede ser un objetivo principal, especialmente en función de los permisos asignados a la cuenta del conector de AD DS (creada en AD local con el prefijo MSOL_). En la instalación predeterminada "express" de Microsoft Entra Connect, a la cuenta de servicio del conector se le conceden permisos de replicación, entre otros, para garantizar una sincronización adecuada. Si la sincronización de hash de contraseñas no está configurada, es importante quitar permisos innecesarios para minimizar la posible superficie expuesta a ataques.

¿Cómo utilizo esta evaluación de seguridad para mejorar la posición de seguridad de mi organización híbrida?

1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para Eliminación de permisos de replicación innecesarios para la cuenta del conector de AD DS de Microsoft Entra Connect.

2. Revise la lista de entidades expuestas para detectar cuál de las cuentas del conector de AD DS tiene permisos de replicación innecesarios.

3. Realice las acciones adecuadas en esas cuentas y elimine los permisos "Replicación de cambios de directorio" y "Replicación de cambios de directorio en todos" mediante la desactivación de los permisos siguientes:

Importante

Para entornos con varios servidores de Microsoft Entra Connect, es fundamental instalar sensores en cada servidor para asegurarse de que Microsoft Defender for Identity puede supervisar completamente la configuración. Se ha detectado que la configuración de Microsoft Entra Connect no utiliza la sincronización de hash de contraseñas, lo que significa que los permisos de replicación no son necesarios para las cuentas de la lista Entidades expuestas. Además, es importante asegurarse de que cada cuenta MSOL expuesta no sea necesaria para los permisos de replicación de ninguna otra aplicación.

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza en unos minutos tras aplicar las acciones recomendadas, el estado puede tardar un tiempo hasta que se marque como Completado.

Pasos siguientes

• Obtener más información acerca de la puntuación de seguridad de Microsoft
• Más información sobre el sensor de Defender for Identity para Microsoft Entra Connect