Sikkerhedsvurdering: Skift adgangskode for Microsoft Entra problemfri SSO-konto
I denne artikel beskrives Microsoft Defender for Identity's Microsoft Entra SSO-konto (Seamless Single Sign-on) til vurderingsrapport for sikkerhedsholdning for adgangskodeændring.
Bemærk!
Denne sikkerhedsvurdering er kun tilgængelig, hvis Microsoft Defender for Identity sensor er installeret på servere, der kører Microsoft Entra Connect-tjenester og metoden Sign on som en del af Microsoft Entra Connect-konfigurationen er angivet til enkeltlogon, og SSO-computerkontoen findes. Få mere at vide om Microsoft Entra problemfri logon her.
Hvorfor kan den Microsoft Entra problemfri gamle adgangskode til SSO-computerkontoen være en risiko?
Microsoft Entra problemfri SSO logger automatisk på brugerne, når de bruger deres stationære virksomhedscomputere, der er forbundet til virksomhedens netværk. Problemfri SSO giver dine brugere nem adgang til dine cloudbaserede programmer uden at bruge andre komponenter i det lokale miljø. Når du konfigurerer Microsoft Entra Problemfri SSO, oprettes der en computerkonto med navnet AZUREADSSOACC i Active Directory. Adgangskoden for denne Azure SSO-computerkonto opdateres som standard ikke automatisk hver 30. dag. Denne adgangskode fungerer som en delt hemmelighed mellem AD og Microsoft Entra, hvilket gør det muligt for Microsoft Entra at dekryptere Kerberos-billetter, der bruges i den problemfri SSO-proces mellem Active Directory og Microsoft Entra ID. Hvis en hacker får kontrol over denne konto, kan vedkommende generere tjenesteanmodninger til AZUREADSSOACC-kontoen på vegne af en hvilken som helst bruger og repræsentere en hvilken som helst bruger i den Microsoft Entra lejer, der er synkroniseret fra Active Directory. Dette kan gøre det muligt for en hacker at flytte sidevis fra Active Directory til Microsoft Entra ID.
Hvordan gør jeg bruge denne sikkerhedsvurdering til at forbedre min hybride organisations sikkerhedsholdning?
Gennemse den anbefalede handling på https://security.microsoft.com/securescore?viewid=actions for Skift adgangskode for Microsoft Entra problemfri SSO-konto.
Gennemse listen over viste enheder for at finde ud af, hvilke af dine Microsoft Entra SSO-computerkonti der har en adgangskode, der er mere end 90 dage gammel.
Udfør de nødvendige handlinger på disse konti ved at følge de trin, der er beskrevet i artiklen om, hvordan du annullerer entra SSO-kontoens adgangskode .
Bemærk!
Selvom vurderinger opdateres i næsten realtid, opdateres scorer og statusser hver 24. time. Selvom listen over påvirkede enheder opdateres inden for få minutter efter, at du har implementeret anbefalingerne, kan status stadig tage tid, indtil den er markeret som Fuldført.