Sikkerhetsvurdering: Fjern unødvendige replikeringstillatelser for Microsoft Entra Connect AD DS Connector-konto
Denne artikkelen beskriver Microsoft Defender for identitet unødvendige replikeringstillatelser for Microsoft Entra Connect (også kjent som Azure AD Connect) AD DS Connector-rapporten for vurdering av sikkerhetsstilling for sikkerhetsstillinger.
Obs!
Denne sikkerhetsvurderingen vil bare være tilgjengelig hvis Microsoft Defender for identitet sensor er installert på servere som kjører Microsoft Entra Connect-tjenester.
Hvis påloggingsmetoden password hash sync (PHS) er konfigurert, påvirkes ikke AD DS Connector-kontoer med replikeringstillatelser fordi disse tillatelsene er nødvendige.
Hvorfor kan Microsoft Entra Koble til AD DS Connector-konto med unødvendige replikeringstillatelser være en risiko?
Smarte angripere er sannsynligvis rettet mot Microsoft Entra Koble til i lokale miljøer, og med god grunn. Den Microsoft Entra Connect-serveren kan være et viktig mål, spesielt basert på tillatelsene som er tilordnet AD DS Connector-kontoen (opprettet i lokal AD med prefikset MSOL_). I standard "express"-installasjon av Microsoft Entra Connect får tilkoblingstjenestekontoen replikeringstillatelser, blant annet for å sikre riktig synkronisering. Hvis synkronisering av hash for passord ikke er konfigurert, er det viktig å fjerne unødvendige tillatelser for å minimere den potensielle angrepsoverflaten.
Hvordan bruke denne sikkerhetsvurderingen til å forbedre min hybride organisasjonssikkerhetsstilling?
Se gjennom den anbefalte handlingen https://security.microsoft.com/securescore?viewid=actions for Fjern unødvendige replikeringstillatelser for Microsoft Entra Koble til AD DS Connector-konto.
Se gjennom listen over eksponerte enheter for å finne ut hvilke av AD DS Connector-kontoene som har unødvendige replikeringstillatelser.
Utfør nødvendige handlinger på disse kontoene, og fjern tillatelsene "Replikeringskatalogendringer" og "Endre alle i replikeringskatalogen" ved å fjerne merket for følgende tillatelser:
Viktig
For miljøer med flere Microsoft Entra Koble til servere, er det viktig å installere sensorer på hver server for å sikre at Microsoft Defender for identitet kan overvåke oppsettet fullt ut. Det er oppdaget at Microsoft Entra Connect-konfigurasjonen ikke bruker hash-synkronisering av passord, noe som betyr at replikeringstillatelser ikke er nødvendige for kontoene i listen over eksponerte enheter. I tillegg er det viktig å sikre at hver eksponert MSOL-konto ikke er nødvendig for replikeringstillatelser fra andre programmer.
Obs!
Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.