Penilaian Keamanan: Mengubah kata sandi untuk akun SSO Tanpa Hambatan Microsoft Entra
Artikel ini menjelaskan laporan penilaian postur keamanan perubahan kata sandi akun Microsoft Entra Seamless Single sign-on (SSO) Microsoft Entra Seamless Microsoft Defender untuk Identitas.
Catatan
Penilaian keamanan ini akan tersedia hanya jika sensor Microsoft Defender untuk Identitas diinstal pada server yang menjalankan layanan Microsoft Entra Connect dan metode Masuk sebagai bagian dari konfigurasi Microsoft Entra Connect diatur ke akses menyeluruh dan akun komputer SSO ada. Pelajari selengkapnya tentang masuk Tanpa Hambatan Microsoft Entra di sini.
Mengapa kata sandi lama akun komputer SSO Tanpa Hambatan Microsoft Entra berisiko?
Microsoft Entra seamless SSO secara otomatis memasukkan pengguna saat mereka menggunakan desktop perusahaan mereka yang terhubung ke jaringan perusahaan Anda. SSO Tanpa Hambatan memberi pengguna Anda akses mudah ke aplikasi berbasis cloud Anda tanpa menggunakan komponen lokal lainnya. Saat menyiapkan SSO Microsoft Entra Seamless, akun komputer bernama AZUREADSSOACC dibuat di Direktori Aktif. Secara default, kata sandi untuk akun komputer Azure SSO ini tidak diperbarui secara otomatis setiap 30 hari. Kata sandi ini berfungsi sebagai rahasia bersama antara AD dan Microsoft Entra, memungkinkan Microsoft Entra untuk mendekripsi tiket Kerberos yang digunakan dalam proses SSO yang mulus antara Direktori Aktif dan ID Microsoft Entra. Jika penyerang mendapatkan kontrol atas akun ini, mereka dapat menghasilkan tiket layanan untuk akun AZUREADSSOACC atas nama pengguna mana pun dan meniru pengguna apa pun dalam penyewa Microsoft Entra yang telah disinkronkan dari Direktori Aktif. Ini dapat memungkinkan penyerang untuk pindah secara lateral dari Direktori Aktif ke ID Microsoft Entra.
Bagaimana cara menggunakan penilaian keamanan ini untuk meningkatkan postur keamanan organisasi hibrid saya?
Tinjau tindakan yang direkomendasikan di https://security.microsoft.com/securescore?viewid=actions untuk Mengubah kata sandi untuk akun SSO Tanpa Hambatan Microsoft Entra.
Tinjau daftar entitas yang diekspos untuk menemukan akun komputer Microsoft Entra SSO mana yang memiliki kata sandi lebih dari 90 hari.
Ambil tindakan yang sesuai pada akun tersebut dengan mengikuti langkah-langkah yang dijelaskan dalam artikel cara mengubah kata sandi akun Konektor AD DS.
Catatan
Meskipun penilaian diperbarui mendekati real time, skor dan status diperbarui setiap 24 jam. Meskipun daftar entitas yang terkena dampak diperbarui dalam beberapa menit setelah Anda menerapkan rekomendasi, status mungkin masih membutuhkan waktu hingga ditandai sebagai Selesai.