Hibrid biztonsági állapotértékelések

Ez a cikk az identitáshoz készült Microsoft Defender összes hibrid biztonsági helyzetértékelését sorolja fel.

Megjegyzés:

Bár az értékelések közel valós időben frissülnek, a pontszámok és az állapotok 24 óránként frissülnek. Bár az érintett entitások listája a javaslatok implementálásától számított néhány percen belül frissül, az állapot továbbra is eltarthat, amíg befejezettként nem lesz megjelölve.

Microsoft Entra közvetlen egyszeri bejelentkezési fiók jelszavának módosítása

Leírás

Ez a jelentés felsorolja az összes Microsoft Entra közvetlen egyszeri bejelentkezéssel rendelkező számítógépfiókot, amelynek jelszava legutóbb 90 nappal ezelőtt volt beállítva.

Felhasználóra gyakorolt hatás

Microsoft Entra közvetlen egyszeri bejelentkezés automatikusan bejelentkezik a felhasználókba, amikor a vállalati hálózathoz csatlakoztatott vállalati asztalaikat használják. A közvetlen egyszeri bejelentkezéssel a felhasználók egyszerűen hozzáférhetnek a felhőalapú alkalmazásokhoz anélkül, hogy más helyszíni összetevőket használnak. A közvetlen egyszeri bejelentkezés Microsoft Entra beállításakor létrejön egy AZUREADSSOACC nevű számítógépfiók az Active Directoryban. Alapértelmezés szerint a Azure SSO-s számítógépfiók jelszava nem frissül automatikusan 30 naponta. Ez a jelszó az AD és a Microsoft Entra közötti megosztott titkos kódként működik, lehetővé téve, hogy Microsoft Entra visszafejtse az Active Directory és Microsoft Entra azonosító közötti közvetlen egyszeri bejelentkezési folyamat során használt Kerberos-jegyeket. Ha egy támadó átveheti az irányítást a fiók felett, szolgáltatásjegyeket hozhat létre az AZUREADSSOACC-fiókhoz bármely felhasználó nevében, és megszemélyesíthet minden olyan felhasználót a Microsoft Entra bérlőn belül, amelyről szinkronizálva lett

Végrehajtás

1. Tekintse át a Microsoft Entra közvetlen egyszeri bejelentkezési fiók jelszavának módosítása című témakör javasolt műveletéthttps://security.microsoft.com/securescore?viewid=actions.

2. Tekintse át a közzétett entitások listáját, hogy megtudja, melyik Microsoft Entra SSO-s számítógépfiókja rendelkezik 90 napnál régebbi jelszóval.

3. Az SSO-fiók jelszavának Microsoft Entra című cikk lépéseit követve végezze el a megfelelő lépéseket ezen fiókokon.

Megjegyzés:

Ez a biztonsági értékelés csak akkor érhető el, ha az identitásérzékelőhöz Microsoft Defender Microsoft Entra Connect-szolgáltatásokat futtató kiszolgálókon van telepítve, és a Bejelentkezés módszer a Microsoft Entra Connect-konfiguráció részeként egyszeri bejelentkezésre van beállítva, és az SSO-számítógépfiók létezik. A Microsoft Entra zökkenőmentes bejelentkezésről itt talál további információt.

Jelszó rotálása Microsoft Entra Connect AD DS Connector-fiókhoz

Leírás

Ez a jelentés felsorolja a szervezet összes olyan MSOL-fiókját, amelynek jelszava legutóbb 90 nappal ezelőtt volt beállítva.

Felhasználóra gyakorolt hatás

Az intelligens támadók jó okkal és jó okkal célozhatnak meg Microsoft Entra Connectet helyszíni környezetekben. A Microsoft Entra Connect-kiszolgáló elsődleges cél lehet, különösen az AD DS Connector-fiókhoz rendelt engedélyek alapján (a helyszíni AD-ben, a MSOL_ előtaggal).

Fontos, hogy 90 naponta módosítsa az MSOL-fiókok jelszavát, hogy a támadók ne engedélyezzék az összekötőfiók által általában birtokolt magas szintű jogosultságok használatát – replikációs engedélyeket, új jelszót stb.

Végrehajtás

1. Tekintse át az ajánlott műveletet a Jelszó rotálása Microsoft Entra Connect AD DS Connector-fiókhoz című témakörben. https://security.microsoft.com/securescore?viewid=actions

2. Tekintse át a közzétett entitások listáját, és ellenőrizze, hogy az AD DS Connector-fiókok közül melyik rendelkezik 90 napnál régebbi jelszóval.

3. Az AD DS Connector-fiók jelszavának módosításával végezze el a megfelelő lépéseket ezen fiókokon.

Megjegyzés:

Ez a biztonsági értékelés csak akkor érhető el, ha az identitásérzékelőhöz Microsoft Defender telepítve van Microsoft Entra Connect-szolgáltatásokat futtató kiszolgálókon.

Szükségtelen replikációs engedélyek eltávolítása Microsoft Entra Connect AD DS Connector-fiókhoz

Leírás

Az intelligens támadók jó okkal és jó okkal célozhatnak meg Microsoft Entra Connectet helyszíni környezetekben. A Microsoft Entra Connect-kiszolgáló elsődleges cél lehet, különösen az AD DS Connector-fiókhoz rendelt engedélyek alapján (a helyszíni AD-ben, a MSOL_ előtaggal). A Microsoft Entra Connect alapértelmezett expressz telepítésében az összekötő szolgáltatásfiókja többek között replikációs engedélyeket kap a megfelelő szinkronizálás biztosítása érdekében. Ha a jelszókivonat-szinkronizálás nincs konfigurálva, fontos eltávolítani a szükségtelen engedélyeket a lehetséges támadási felület minimalizálása érdekében.

Megjegyzés:

• Ez a biztonsági értékelés csak akkor érhető el, ha az identitásérzékelőhöz készült Microsoft Defender telepítve van a Microsoft Entra Connect-szolgáltatásokat futtató kiszolgálókon.

• Ha a Jelszókivonat-szinkronizálás (PHS) bejelentkezési módszer be van állítva, a replikációs engedélyekkel rendelkező AD DS Connector-fiókokra nincs hatással, mert ezekre az engedélyekre szükség van.

• A több Microsoft Entra Connect-kiszolgálóval rendelkező környezetek esetében elengedhetetlen, hogy az egyes kiszolgálókra érzékelőket telepítsenek, hogy az identitáshoz Microsoft Defender teljes mértékben monitorozni tudják a telepítést. Ha a rendszer azt észleli, hogy a Microsoft Entra Connect-konfiguráció nem használja a jelszókivonat-szinkronizálást, ami azt jelenti, hogy a közzétett entitások listájában szereplő fiókokhoz nincs szükség replikációs engedélyekre. Győződjön meg arról, hogy az egyes közzétett MSOL-fiókokra nincs szükség más alkalmazások replikációs engedélyeihez.

Végrehajtás

1. Tekintse át az ajánlott műveletet a következő helyenhttps://security.microsoft.com/securescore?viewid=actions: Microsoft Entra Connect AD DS Connector-fiók szükségtelen replikációs engedélyeinek eltávolítása.

2. Tekintse át a közzétett entitások listáját, és ellenőrizze, hogy az AD DS Connector-fiókok közül melyik rendelkezik szükségtelen replikációs engedélyekkel.

3. A következő engedélyek bejelölésével megfelelő műveletet hajthat végre ezen fiókokon, és távolítsa el a "Replikációs címtár módosításai" és a "Replication Directory Changes All" (Replikációs címtár módosításai az összeset) engedélyeket:

Bizalmas Microsoft Entra Connect-fiókok nem biztonságos engedélyeinek eltávolítása

Leírás

Microsoft Entra Connect-fiókok, például az AD DS Connector-fiók (más néven MSOL_) és Microsoft Entra közvetlen egyszeri bejelentkezésű számítógépfiók (AZUREADSSOACC) hatékony jogosultságokkal rendelkeznek, beleértve a replikációt és a jelszó-visszaállítási jogosultságokat. Ha ezek a fiókok nem biztonságos engedélyeket kapnak, a támadók kihasználhatják őket jogosulatlan hozzáférés megszerzéséhez, jogosultságok eszkalálásához vagy a hibrid identitáskezelési infrastruktúra irányításának átvételéhez. Ez fiókátvételekhez, jogosulatlan címtármódosításokhoz és a helyszíni és a felhőalapú környezetek szélesebb körű sérüléséhez vezethet.

Megjegyzés:

Ez a biztonsági értékelés csak akkor lesz elérhető, ha Microsoft Defender identitásérzékelő telepítve van az Microsoft Entra Connect-szolgáltatásokat futtató kiszolgálókon, és a Sign on metódus a Microsoft Entra Connect-konfiguráció részeként egyszeri bejelentkezésre van beállítva, és az SSO-számítógépfiók létezik. A Microsoft Entra zökkenőmentes bejelentkezésről itt talál további információt.

Végrehajtás

1. Tekintse át a bizalmas Microsoft Entra Connect-fiókokra vonatkozó nem biztonságos engedélyek eltávolítása című témakörben javasolt műveletet https://security.microsoft.com/securescore?viewid=actions.

2. Tekintse át a közzétett entitások listáját a nem biztonságos engedélyekkel rendelkező fiókok azonosításához. Például:

   

3. Ha a "Kattintással kibontható" lehetőséget választja, további részleteket talál a megadott engedélyekről. Például:

   

4. Minden közzétett fiók esetében távolítsa el azokat a problémás engedélyeket, amelyek lehetővé teszik a nem jogosultsággal rendelkező fiókok számára a kritikus fontosságú hibrid objektumok átvételét.

Cserélje le a vállalati vagy tartományi Rendszergazda fiókot az Microsoft Entra Connect AD DS Connector-fiókra

Leírás

Az intelligens támadók gyakran helyszíni környezetekben célzik meg a Microsoft Entra Connectet az AD DS Connector-fiókhoz társított emelt szintű jogosultságok miatt (általában az Active Directoryban jönnek létre a MSOL_ előtaggal). Ha nagyvállalati Rendszergazda vagy tartományi Rendszergazda fiókot használ erre a célra, azzal jelentősen növeli a támadási felületet, mivel ezek a fiókok széles körű vezérléssel rendelkeznek a címtár felett.

Az Entra Connect 1.4.####.## buildjével kezdődően az Enterprise Rendszergazda és a Domain Rendszergazda-fiókok már nem használhatók AD DS Connector-fiókként. Ez az ajánlott eljárás megakadályozza az összekötőfiók túlzott mértékű privilegálását, csökkentve a tartományszintű biztonsági rés kockázatát, ha a fiókot támadók támadják meg. A szervezeteknek most már létre kell hozniuk vagy hozzárendelniük egy alacsonyabb jogosultsági szintű fiókot kifejezetten a címtár-szinkronizáláshoz, biztosítva a minimális jogosultság elvének jobb betartását és a kritikus fontosságú rendszergazdai fiókok védelmét.

Megjegyzés:

Ez a biztonsági értékelés csak akkor lesz elérhető, ha Microsoft Defender identitásérzékelő van telepítve a Microsoft Entra Connect-szolgáltatásokat futtató kiszolgálókon.

Végrehajtás

1. Tekintse át a vállalati vagy tartományi Rendszergazda fiók cseréje Microsoft Entra Connect AD DS Connector-fiók esetében javasolt műveletet https://security.microsoft.com/securescore?viewid=actions.

2. Tekintse át a közzétett fiókokat és azok csoporttagságait. A lista a közvetlen és rekurzív tagsággal rendelkező tartomány-/vállalati rendszergazdák tagjait tartalmazza.

3. Hajtsa végre az alábbi műveletek egyikét:

   • Távolítsa el MSOL_ felhasználói fiók felhasználóját az emelt szintű csoportokból, biztosítva, hogy megőrzhesse a Microsoft Entra Connect Connector-fiókként való működéshez szükséges engedélyeket.

   • Módosítsa az Microsoft Entra Connect AD DS Connector-fiókot (MSOL_) egy alacsonyabb jogosultsági szintű fiókra.

Következő lépések

További információ a Microsoft biztonsági pontszámáról