Оценки состояния гибридной безопасности

В этой статье перечислены все оценки состояния гибридной безопасности для Microsoft Defender для удостоверений.

Изменение пароля для Microsoft Entra простой учетной записи единого входа

Описание

В этом отчете перечислены все Microsoft Entra учетные записи компьютеров с простым единым входом с паролем, который был установлен более 90 дней назад.

Влияние на пользователей

Microsoft Entra простой единый вход автоматически входит в систему пользователей при использовании корпоративных рабочих столов, подключенных к корпоративной сети. Простой единый вход обеспечивает пользователям простой доступ к облачным приложениям без использования других локальных компонентов. При настройке Microsoft Entra простого единого входа в Active Directory создается учетная запись компьютера с именем AZUREADSSOACC. По умолчанию пароль для учетной записи компьютера Azure единого входа не обновляется автоматически каждые 30 дней. Этот пароль работает как общий секрет между AD и Microsoft Entra, позволяя Microsoft Entra расшифровывать билеты Kerberos, используемые в процессе простого единого входа между Active Directory и Microsoft Entra id. Если злоумышленник получает контроль над этой учетной записью, он может создать билеты службы для учетной записи AZUREADSSOACC от имени любого пользователя и олицетворить любого пользователя в Microsoft Entra клиенте, который был синхронизирован из

Реализация

1. Ознакомьтесь с рекомендуемыми действиями в разделе https://security.microsoft.com/securescore?viewid=actionsИзменение пароля для Microsoft Entra простой учетной записи единого входа.

2. Просмотрите список открытых сущностей, чтобы узнать, у каких учетных записей компьютеров с единым входом Microsoft Entra есть пароль более 90 дней.

3. Выполните соответствующие действия с этими учетными записями, выполнив действия, описанные в статье о переборе пароля учетной записи единого входа Microsoft Entra.

Смена пароля для учетной записи соединителя Microsoft Entra Connect AD DS

Описание

В этом отчете перечислены все учетные записи MSOL в вашей организации с паролем, который был установлен более 90 дней назад.

Влияние на пользователей

Интеллектуальные злоумышленники, скорее всего, нацелятся на Microsoft Entra Connect в локальных средах, и по веской причине. Сервер Microsoft Entra Connect может быть основным целевым объектом, особенно на основе разрешений, назначенных учетной записи соединителя AD DS (созданной в локальной среде AD с префиксом MSOL_).

Важно менять пароль учетных записей MSOL каждые 90 дней, чтобы предотвратить использование злоумышленниками высоких привилегий, которыми обычно обладает учетная запись соединителя: разрешения на репликацию, сброс пароля и т. д.

Реализация

1. Ознакомьтесь с рекомендуемыми действиями в разделе https://security.microsoft.com/securescore?viewid=actionsСмена пароля для учетной записи соединителя MICROSOFT ENTRA Подключить AD DS.

2. Просмотрите список доступных сущностей, чтобы узнать, у каких учетных записей соединителя AD DS есть пароль более 90 дней.

3. Выполните соответствующие действия с этими учетными записями, выполнив действия по изменению пароля учетной записи соединителя AD DS.

Удаление ненужных разрешений на репликацию для учетной записи соединителя MICROSOFT ENTRA Connect AD DS

Описание

Интеллектуальные злоумышленники, скорее всего, нацелятся на Microsoft Entra Connect в локальных средах, и по веской причине. Сервер Microsoft Entra Connect может быть основным целевым объектом, особенно на основе разрешений, назначенных учетной записи соединителя AD DS (созданной в локальной среде AD с префиксом MSOL_). В стандартной экспресс-установке Microsoft Entra Connect учетной записи службы соединителя предоставляются разрешения на репликацию, чтобы обеспечить правильную синхронизацию. Если синхронизация хэша паролей не настроена, важно удалить ненужные разрешения, чтобы свести к минимуму потенциальную область атаки.

Реализация

1. Ознакомьтесь с рекомендуемыми действиями в разделе https://security.microsoft.com/securescore?viewid=actions Удаление ненужных разрешений на репликацию для учетной записи соединителя Microsoft Entra Подключить AD DS.

2. Просмотрите список предоставленных сущностей, чтобы узнать, какие из учетных записей соединителя AD DS имеют ненужные разрешения на репликацию.

3. Выполните соответствующие действия с этими учетными записями и удалите их разрешения "Изменения каталога репликации" и "Все изменения каталога репликации", сняв следующие разрешения:

Удаление небезопасных разрешений для конфиденциальных учетных записей Microsoft Entra Connect

Описание

учетные записи Microsoft Entra Connect, такие как учетная запись соединителя AD DS (также известная как MSOL_) и Microsoft Entra учетная запись компьютера с простым единым входом (AZUREADSSOACC), обладают мощными привилегиями, включая права на репликацию и сброс пароля. Если этим учетным записям предоставляются небезопасные разрешения, злоумышленники могут использовать их для получения несанкционированного доступа, повышения привилегий или управления инфраструктурой гибридных удостоверений. Это может привести к поглощению учетных записей, несанкционированным изменениям каталога и более широкому компрометации локальных и облачных сред.

Реализация

1. Ознакомьтесь с рекомендуемым действием в разделе https://security.microsoft.com/securescore?viewid=actions Удаление небезопасных разрешений для конфиденциальных учетных записей Microsoft Entra Connect.

2. Просмотрите список доступных сущностей, чтобы определить учетные записи с небезопасными разрешениями. Например:

   

3. При выборе параметра "Щелкните, чтобы развернуть", вы сможете найти дополнительные сведения о предоставленных разрешениях. Например:

   

4. Для каждой предоставленной учетной записи удалите проблемные разрешения, которые позволяют непривилегированные учетные записи перехватить критически важные гибридные ресурсы.

Замените учетную запись Enterprise или Domain Администратор для учетной записи соединителя AD DS Microsoft Entra Connect

Описание

Интеллектуальные злоумышленники часто нацелены на Microsoft Entra Connect в локальных средах из-за повышенных привилегий, связанных с учетной записью соединителя AD DS (обычно создается в Active Directory с префиксом MSOL_). Использование корпоративной учетной записи Администратор или учетной записи Администратор домена для этой цели значительно увеличивает вероятность атаки, так как эти учетные записи имеют широкий контроль над каталогом.

Начиная со сборки Entra Connect 1.4.###.## учетные записи Enterprise Администратор и доменных Администратор больше не могут использоваться в качестве учетной записи соединителя AD DS. Это рекомендуется избежать чрезмерного присвоения учетной записи соединителя, что снижает риск компрометации на уровне домена, если учетная запись нацелена на злоумышленников. Теперь организациям необходимо создать или назначить учетную запись с низким уровнем привилегий специально для синхронизации каталогов, обеспечивая лучшее соблюдение принципа минимальных привилегий и защиту критически важных учетных записей администраторов.

Реализация

1. Ознакомьтесь с рекомендуемыми действиями в разделе https://security.microsoft.com/securescore?viewid=actions Замена учетной записи Администратор предприятия или домена для учетной записи соединителя Microsoft Entra подключить AD DS.

2. Просмотрите предоставленные учетные записи и их членство в группах. Список содержит членов администраторов домена или предприятия через прямое и рекурсивное членство.

3. Выполните одно из следующих действий:

   • Удалите пользователя MSOL_ учетной записи пользователя из привилегированных групп, чтобы сохранить необходимые разрешения для работы в качестве учетной записи соединителя Microsoft Entra Connect.

   • Измените учетную запись соединителя Microsoft Entra Connect AD DS (MSOL_) на учетную запись с более низким уровнем привилегий.

Дальнейшие действия

Дополнительные сведения о оценке безопасности (Майкрософт)