Sikkerhedsvurdering: Fjern unødvendige replikeringstilladelser for Microsoft Entra Connect AD DS Connector-konto
I denne artikel beskrives Microsoft Defender for Identity's unødvendige replikeringstilladelser til Microsoft Entra Connect (også kendt som Azure AD Connect) AD DS Connector-kontovurderingsrapport.
Bemærk!
Denne sikkerhedsvurdering er kun tilgængelig, hvis Microsoft Defender for Identity sensor er installeret på servere, der kører Microsoft Entra Connect-tjenester.
Hvis phs-logonmetoden (Password Hash Sync) er konfigureret, påvirkes AD DS Connector-konti med replikeringstilladelser heller ikke, fordi disse tilladelser er nødvendige.
Hvorfor kan den Microsoft Entra Connect AD DS Connector-konto med unødvendige replikeringstilladelser være en risiko?
Intelligente hackere vil sandsynligvis målrette Microsoft Entra Oprette forbindelse i lokale miljøer og med god grund. Den Microsoft Entra Connect-server kan være en vigtig destination, især baseret på de tilladelser, der er tildelt AD DS Connector-kontoen (oprettet i ad i det lokale miljø med præfikset MSOL_). I standardinstallationen 'express' af Microsoft Entra Connect tildeles forbindelsestjenestekontoen replikeringstilladelser, bl.a. for at sikre korrekt synkronisering. Hvis synkronisering af adgangskodehash ikke er konfigureret, er det vigtigt at fjerne unødvendige tilladelser for at minimere den potentielle angrebsoverflade.
Hvordan gør jeg bruge denne sikkerhedsvurdering til at forbedre min hybride organisations sikkerhedsholdning?
Gennemse den anbefalede handling på https://security.microsoft.com/securescore?viewid=actions for Fjern unødvendige replikeringstilladelser for Microsoft Entra Connect AD DS Connector-konto.
Gennemse listen over viste objekter for at finde ud af, hvilke af dine AD DS Connector-konti der har unødvendige replikeringstilladelser.
Udfør de nødvendige handlinger på disse konti, og fjern tilladelserne 'Ændringer i replikeringsmappe' og 'Ændringer af replikeringsmappe alle' ved at fjerne markeringen af følgende tilladelser:
Vigtigt!
I miljøer med flere Microsoft Entra Connect-servere er det afgørende at installere sensorer på hver server for at sikre, at Microsoft Defender for Identity kan overvåge konfigurationen fuldt ud. Det er blevet registreret, at din Microsoft Entra Opret forbindelse-konfiguration ikke bruger synkronisering af adgangskodehash, hvilket betyder, at replikeringstilladelser ikke er nødvendige for kontiene på listen Eksponerede enheder. Derudover er det vigtigt at sikre, at hver eksponeret MSOL-konto ikke kræves til replikeringstilladelser af andre programmer.
Bemærk!
Selvom vurderinger opdateres i næsten realtid, opdateres scorer og statusser hver 24. time. Selvom listen over påvirkede enheder opdateres inden for få minutter efter, at du har implementeret anbefalingerne, kan status stadig tage tid, indtil den er markeret som Fuldført.