Posouzení zabezpečení: Odebrání nepotřebných oprávnění k replikaci pro účet konektoru služby AD DS Microsoft Entra Connect
Tento článek popisuje nepotřebná oprávnění k replikaci Microsoft Defender for Identity pro Microsoft Entra Connect (označovanou také jako Azure AD Connect) sestava posouzení stavu zabezpečení účtu konektoru AD DS.
Poznámka
Toto posouzení zabezpečení bude dostupné jenom v případě, že je senzor Microsoft Defender for Identity nainstalovaný na serverech se službami Microsoft Entra Connect.
Pokud je navíc nastavená metoda přihlašování synchronizace hodnot hash hesel (PHS), účty konektoru služby AD DS s oprávněními k replikaci nebudou ovlivněny, protože tato oprávnění jsou nezbytná.
Proč může účet konektoru služby AD DS Microsoft Entra Connect se zbytečnými oprávněními k replikaci představovat riziko?
Chytří útočníci budou pravděpodobně cílit na Microsoft Entra Connect v místních prostředích a z dobrého důvodu. Server Microsoft Entra Connect může být hlavním cílem, zejména na základě oprávnění přiřazených účtu konektoru služby AD DS (vytvořeného v místní službě AD s předponou MSOL_). Ve výchozí expresní instalaci služby Microsoft Entra Connect se účtu služby konektoru udělí mimo jiné oprávnění k replikaci, aby se zajistila správná synchronizace. Pokud synchronizace hodnot hash hesel není nakonfigurovaná, je důležité odebrat nepotřebná oprávnění, aby se minimalizoval potenciální prostor pro útoky.
Návody použít toto posouzení zabezpečení ke zlepšení stavu zabezpečení hybridní organizace?
Projděte si doporučenou akci v části https://security.microsoft.com/securescore?viewid=actions Odebrání zbytečných oprávnění k replikaci pro účet konektoru služby AD DS Microsoft Entra Connect.
Projděte si seznam vystavených entit a zjistěte, které z vašich účtů konektoru služby AD DS mají nepotřebná oprávnění k replikaci.
U těchto účtů proveďte příslušnou akci a odeberte jejich oprávnění Změny adresáře replikace a Replikační adresář změní vše zrušením zaškrtnutí následujících oprávnění:
Důležité
V prostředích s více servery Microsoft Entra Connect je důležité nainstalovat senzory na každý server, aby Microsoft Defender for Identity mohli plně monitorovat nastavení. Zjistilo se, že konfigurace Microsoft Entra Connect nevyužívá synchronizaci hodnot hash hesel, což znamená, že pro účty v seznamu vystavených entit nejsou potřebná oprávnění k replikaci. Kromě toho je důležité zajistit, aby každý vystavený účet MSOL nebyl vyžadován pro oprávnění replikace žádnou jinou aplikací.
Poznámka
Zatímco se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit aktualizuje během několika minut od implementace doporučení, může stav ještě nějakou dobu trvat, než se označí jako Dokončeno.