Huomautus
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä artikkelissa kuvataan Microsoft Defender for Identity Microsoft Entra Connect AD DS Connector -tilin oletusarvoinen järjestelmänvalvojan suojausasennon arviointiraportti.
Huomautus
Tämä suojausarviointi on käytettävissä vain, jos Microsoft Defender for Identity tunnistin on asennettu palvelimiin, jotka käyttävät Microsoft Entra Connect -palveluita.
Miksi Enterprise- tai Domain Hallinta -tilin käyttäminen Connect AD DS Connectorin Microsoft Entra voi olla riski?
Älykkäät hyökkääjät kohdistavat usein yhteyden Microsoft Entra paikallisissa ympäristöissä sen AD DS -yhdistintiliin liitettyjen laajennettujen oikeuksien vuoksi (jotka yleensä luodaan Active Directoryssa MSOL_ etuliitteellä). Enterprise Hallinta- tai Domain Hallinta -tilin käyttäminen tätä tarkoitusta varten kasvattaa merkittävästi hyökkäyspintaa, koska näillä tileillä on laaja hakemiston hallinta.
Entra Connect -koontiversiosta 1.4 alkaen.###.#, Enterprise Hallinta- ja Domain Hallinta -tilejä ei voi enää käyttää AD DS Connector -tilinä. Tämä paras käytäntö estää yhdistintilin yli vähättelyn, mikä vähentää toimialueenlaajuisen kompromissin riskiä, jos hyökkääjät kohdistavat tilin. Organisaatioiden on nyt luotava tai määritettävä erityisesti hakemistosynkronointia varten alemman tason tili, jotta voidaan varmistaa, että pienin oikeus -periaatetta noudatetaan paremmin ja kriittiset järjestelmänvalvojatilit suojataan.
Ohjevalikko käyttää tätä suojausarviointia parantaakseen hybridiorganisaation suojausasentojani?
Tarkista suositeltu toiminto kohteessa https://security.microsoft.com/securescore?viewid=actions Yrityksen tai Toimialueen Hallinta-tilin korvaaminen Entra Connect AD DS Connector -tilillä.
Tarkista paljastetut tilit ja niiden ryhmän jäsenyydet. Luettelo sisältää toimialueen tai yrityksen järjestelmänvalvojien jäseniä suoran ja rekursiivisen jäsenyyden kautta.
Suorita jokin seuraavista toiminnoista:
Poista MSOL_ käyttäjätilin käyttäjä etuoikeutetuista ryhmistä ja varmista, että se säilyttää entra connect connector -tilin toiminnan tarvittavat oikeudet.
Muuta Entra Connect AD DS Connector -tili (MSOL_) alemman tason tiliksi.
Huomautus
Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.
Seuraavat vaiheet
Lue lisätietoja Microsoft Securen pisteistä.
Lisätietoja Defender for Identity Sensor for Microsoft Entra Connectista