Posouzení zabezpečení: Změna hesla pro účet Microsoft Entra bezproblémového jednotného přihlašování
Tento článek popisuje Microsoft Defender for Identity Microsoft Entra sestava posouzení stavu zabezpečení účtu bezproblémového jednotného přihlašování (SSO).
Poznámka
Toto posouzení zabezpečení bude dostupné jenom v případě, že je Microsoft Defender for Identity senzor nainstalovaný na serverech se službami Microsoft Entra Connect a metoda Přihlášení jako součást Microsoft Entra Konfigurace Connect je nastavená na jednotné přihlašování a existuje účet počítače s jednotným přihlašováním. Další informace o Microsoft Entra bezproblémovém přihlašování najdete tady.
Proč může Microsoft Entra bezproblémové jednotné přihlašování účtu počítače představovat riziko?
Microsoft Entra bezproblémové jednotné přihlašování automaticky přihlašuje uživatele, kteří používají podnikové plochy připojené k vaší podnikové síti. Bezproblémové jednotné přihlašování poskytuje uživatelům snadný přístup ke cloudovým aplikacím bez použití jakýchkoli jiných místních komponent. Při nastavování Microsoft Entra bezproblémového jednotného přihlašování se ve službě Active Directory vytvoří účet počítače s názvem AZUREADSSOACC. Ve výchozím nastavení se heslo pro tento účet počítače s jednotným přihlašováním Azure neaktualizuje automaticky každých 30 dnů. Toto heslo funguje jako sdílený tajný kód mezi službami AD a Microsoft Entra a umožňuje Microsoft Entra dešifrovat lístky protokolu Kerberos používané v procesu bezproblémového jednotného přihlašování mezi službou Active Directory a Microsoft Entra ID. Pokud útočník získá kontrolu nad tímto účtem, může vygenerovat lístky služby pro účet AZUREADSSOACC jménem libovolného uživatele a zosobnit uživatele v tenantovi Microsoft Entra synchronizovaného ze služby Active Directory. To by mohlo útočníkovi umožnit přechod ze služby Active Directory do Microsoft Entra ID.
Návody použít toto posouzení zabezpečení ke zlepšení stavu zabezpečení hybridní organizace?
Projděte si doporučenou akci v části https://security.microsoft.com/securescore?viewid=actionsZměna hesla pro účet Microsoft Entra bezproblémového jednotného přihlašování.
Projděte si seznam vystavených entit a zjistěte, které účty počítačů s jednotným přihlašováním Microsoft Entra mají heslo starší než 90 dnů.
Proveďte s těmito účty odpovídající akci podle kroků popsaných v článku o vrácení hesla k účtu Jednotného přihlašování Entra .
Poznámka
Zatímco se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit aktualizuje během několika minut od implementace doporučení, může stav ještě nějakou dobu trvat, než se označí jako Dokončeno.