Oceny stanu zabezpieczeń hybrydowych

W tym artykule wymieniono wszystkie oceny stanu zabezpieczeń hybrydowych dla Microsoft Defender dla tożsamości.

Uwaga

Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Zmienianie hasła dla Microsoft Entra bezproblemowego konta logowania jednokrotnego

Opis

Ten raport zawiera listę wszystkich Microsoft Entra bezproblemowych kont komputerów logowania jednokrotnego z hasłem ustawionym ostatnio ponad 90 dni temu.

Wpływ na użytkownika

Microsoft Entra bezproblemowe logowanie jednokrotne automatycznie loguje użytkowników podczas korzystania z pulpitów firmowych połączonych z siecią firmową. Bezproblemowe logowanie jednokrotne zapewnia użytkownikom łatwy dostęp do aplikacji opartych na chmurze bez używania innych składników lokalnych. Podczas konfigurowania Microsoft Entra bezproblemowego logowania jednokrotnego w usłudze Active Directory jest tworzone konto komputera o nazwie AZUREADSSOACC. Domyślnie hasło dla tego Azure konta komputera logowania jednokrotnego nie jest automatycznie aktualizowane co 30 dni. To hasło działa jako wspólny wpis tajny między usługami AD i Microsoft Entra, umożliwiając Microsoft Entra odszyfrowywanie biletów Kerberos używanych w bezproblemowym procesie logowania jednokrotnego między usługą Active Directory a identyfikatorem Microsoft Entra. Jeśli osoba atakująca uzyska kontrolę nad tym kontem, może wygenerować bilety usługi dla konta AZUREADSSOACC w imieniu dowolnego użytkownika i personifikować dowolnego użytkownika w dzierżawie Microsoft Entra, z którego została zsynchronizowana

Implementacja

1. Zapoznaj się z zalecaną akcją w https://security.microsoft.com/securescore?viewid=actionstemacie Zmienianie hasła w celu Microsoft Entra bezproblemowego konta logowania jednokrotnego.

2. Przejrzyj listę uwidocznionych jednostek, aby dowiedzieć się, które z kont komputera logowania jednokrotnego Microsoft Entra mają hasło starsze niż 90 dni.

3. Wykonaj odpowiednie działania na tych kontach, wykonując kroki opisane w artykule dotyczącym przerzucania Microsoft Entra hasła do konta logowania jednokrotnego.

Uwaga

Ta ocena zabezpieczeń jest dostępna tylko wtedy, gdy Microsoft Defender czujnik tożsamości jest zainstalowany na serwerach z uruchomionymi usługami Microsoft Entra Connect i metodą logowania w ramach konfiguracji programu Microsoft Entra Connect jest ustawiona na logowanie jednokrotne i istnieje konto komputera logowania jednokrotnego. Dowiedz się więcej na temat Microsoft Entra bezproblemowego logowania tutaj.

Obracanie hasła dla konta łącznika usług AD DS Microsoft Entra Connect

Opis

Ten raport zawiera listę wszystkich kont MSOL w organizacji z hasłem ustawionym ostatnio ponad 90 dni temu.

Wpływ na użytkownika

Inteligentne osoby atakujące mogą kierować Microsoft Entra Connect w środowiskach lokalnych i nie bez powodu. Serwer Microsoft Entra Connect może być głównym obiektem docelowym, zwłaszcza na podstawie uprawnień przypisanych do konta łącznika usług AD DS (utworzonego w lokalnej usłudze AD z prefiksem MSOL_).

Ważne jest, aby co 90 dni zmieniać hasło kont MSOL, aby uniemożliwić osobom atakującym korzystanie z wysokich uprawnień, które zwykle posiada konto łącznika — uprawnienia do replikacji, resetowanie hasła itd.

Implementacja

1. Zapoznaj się z zalecaną akcją w https://security.microsoft.com/securescore?viewid=actionstemacie Rotate password for Microsoft Entra Connect AD DS Connector account (Przeprowadź rotację hasła dla konta łącznika usług AD DS Microsoft Entra Connect).

2. Przejrzyj listę ujawnionych jednostek, aby dowiedzieć się, które konta łącznika usług AD DS mają hasło starsze niż 90 dni.

3. Wykonaj odpowiednie działania na tych kontach, wykonując kroki zmiany hasła konta łącznika usług AD DS.

Uwaga

Ta ocena zabezpieczeń jest dostępna tylko wtedy, gdy na serwerach z uruchomionymi usługami Microsoft Entra Connect zainstalowano Microsoft Defender czujnika tożsamości.

Usuwanie niepotrzebnych uprawnień replikacji dla konta łącznika usług AD DS Microsoft Entra Connect

Opis

Inteligentne osoby atakujące mogą kierować Microsoft Entra Connect w środowiskach lokalnych i nie bez powodu. Serwer Microsoft Entra Connect może być głównym obiektem docelowym, zwłaszcza na podstawie uprawnień przypisanych do konta łącznika usług AD DS (utworzonego w lokalnej usłudze AD z prefiksem MSOL_). W domyślnej instalacji "ekspresowej" programu Microsoft Entra Connect konto usługi łącznika otrzymuje między innymi uprawnienia replikacji w celu zapewnienia właściwej synchronizacji. Jeśli synchronizacja skrótów haseł nie jest skonfigurowana, ważne jest usunięcie niepotrzebnych uprawnień w celu zminimalizowania potencjalnej powierzchni ataku.

Uwaga

• Ta ocena zabezpieczeń jest dostępna tylko wtedy, gdy na serwerach z uruchomionymi usługami Microsoft Entra Connect zainstalowano Microsoft Defender czujnika tożsamości.

• Jeśli skonfigurowano metodę logowania synchronizacji skrótów haseł (PHS), konta łącznika usług AD DS z uprawnieniami replikacji nie będą miały wpływu, ponieważ te uprawnienia są niezbędne.

• W przypadku środowisk z wieloma serwerami Microsoft Entra Connect niezwykle ważne jest zainstalowanie czujników na każdym serwerze w celu zapewnienia, że Microsoft Defender dla usługi Identity może w pełni monitorować konfigurację. W przypadku wykrycia, że konfiguracja Microsoft Entra Connect nie korzysta z synchronizacji skrótów haseł, co oznacza, że uprawnienia replikacji nie są niezbędne dla kont na liście Uwidocznione jednostki. Upewnij się, że każde uwidocznione konto MSOL nie jest wymagane w przypadku uprawnień replikacji przez inne aplikacje.

Implementacja

1. Zapoznaj się z zalecaną akcją w temacie https://security.microsoft.com/securescore?viewid=actions Usuwanie niepotrzebnych uprawnień replikacji dla konta łącznika usług AD DS Microsoft Entra Connect.

2. Przejrzyj listę uwidocznionych jednostek, aby dowiedzieć się, które konta łącznika usług AD DS mają niepotrzebne uprawnienia do replikacji.

3. Wykonaj odpowiednie działania na tych kontach i usuń ich uprawnienia "Zmiany katalogu replikacji" i "Katalog replikacji zmienia wszystko", usuwając zaznaczenie następujących uprawnień:

Usuwanie niebezpiecznych uprawnień do poufnych kont programu Microsoft Entra Connect

Opis

Microsoft Entra Konta programu Connect, takie jak konto łącznika usług AD DS (znane również jako MSOL_) i Microsoft Entra bezproblemowe konto komputera logowania jednokrotnego (AZUREADSSOACC), mają zaawansowane uprawnienia, w tym prawa do replikacji i resetowania haseł. Jeśli te konta otrzymają niebezpieczne uprawnienia, osoby atakujące mogą wykorzystać je do uzyskania nieautoryzowanego dostępu, eskalowania uprawnień lub przejęcia kontroli nad infrastrukturą tożsamości hybrydowej. Może to prowadzić do przejęcia kont, nieautoryzowanych modyfikacji katalogów i szerszego naruszenia zarówno środowisk lokalnych, jak i w chmurze.

Uwaga

Ta ocena zabezpieczeń będzie dostępna tylko wtedy, gdy Microsoft Defender dla czujnika tożsamości jest zainstalowany na serwerach z uruchomionymi usługami Microsoft Entra Connect i metodą logowania w ramach konfiguracji programu Microsoft Entra Connect jest ustawiona na logowanie jednokrotne i istnieje konto komputera logowania jednokrotnego. Dowiedz się więcej na temat Microsoft Entra bezproblemowego logowania tutaj.

Implementacja

1. Zapoznaj się z zalecaną akcją w temacie https://security.microsoft.com/securescore?viewid=actions Usuwanie niebezpiecznych uprawnień do poufnych kont Microsoft Entra Connect.

2. Przejrzyj listę ujawnionych jednostek, aby zidentyfikować konta z niebezpiecznymi uprawnieniami. Przykład:

   

3. Jeśli wybierzesz pozycję "Kliknij, aby rozwinąć", możesz znaleźć więcej szczegółów na temat udzielonych uprawnień. Przykład:

   

4. Dla każdego uwidocznionego konta usuń problematyczne uprawnienia, które zezwalają nieuprzywilejowanym kontom na przejęcie krytycznych zasobów hybrydowych.

Zastąp konto Administracja przedsiębiorstwa lub domeny dla konta łącznika usług AD DS Microsoft Entra Connect

Opis

Inteligentni atakujący często atakują Microsoft Entra Connect w środowiskach lokalnych ze względu na podwyższone uprawnienia skojarzone z kontem łącznika usług AD DS (zwykle tworzone w usłudze Active Directory z prefiksem MSOL_). Użycie konta Administracja enterprise lub domeny Administracja w tym celu znacznie zwiększa obszar ataków, ponieważ te konta mają szeroką kontrolę nad katalogiem.

Począwszy od kompilacji Entra Connect 1.4.###.#, konta Administracja przedsiębiorstwa i konta Administracja domeny nie mogą być już używane jako konto łącznika usług AD DS. To najlepsze rozwiązanie zapobiega nadmiernej prywatyzacji konta łącznika, zmniejszając ryzyko naruszenia zabezpieczeń w całej domenie, jeśli konto jest celem ataków. Organizacje muszą teraz utworzyć lub przypisać konto o niższych uprawnieniach specjalnie do synchronizacji katalogów, zapewniając lepsze przestrzeganie zasady najniższych uprawnień i ochronę kont administratorów o krytycznym znaczeniu.

Uwaga

Ta ocena zabezpieczeń będzie dostępna tylko wtedy, gdy Microsoft Defender dla czujnika tożsamości jest zainstalowany na serwerach z uruchomionymi usługami Microsoft Entra Connect.

Implementacja

1. Zapoznaj się z zalecaną akcją w https://security.microsoft.com/securescore?viewid=actions temacie Replace Enterprise or Domain Administracja account for Microsoft Entra Connect AD DS Connector account (Zastąp konto Administracja enterprise lub domain Administracja dla konta łącznika usług AD DS Microsoft Entra Connect).

2. Przejrzyj uwidocznione konta i ich członkostwo w grupach. Lista zawiera członków administratorów domeny/przedsiębiorstwa za pośrednictwem członkostwa bezpośredniego i cyklicznego.

3. Wykonaj jedną z następujących czynności:

   • Usuń MSOL_ użytkownika konta użytkownika z grup uprzywilejowanych, upewniając się, że zachowuje on uprawnienia niezbędne do działania jako konto łącznika Microsoft Entra Connect.

   • Zmień Microsoft Entra Połącz konto łącznika usług AD DS (MSOL_) na konto o niższych uprawnieniach.

Następne kroki

Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft