Evaluación de seguridad: cambio de contraseña para Microsoft Entra cuenta de SSO de conexión directa

En este artículo se describe Microsoft Defender for Identity informe de evaluación de la posición de seguridad de cambio de contraseña de la cuenta de inicio de sesión único (SSO) de conexión directa de Microsoft Entra Microsoft Defender for Identity.

Nota:

Esta evaluación de seguridad solo estará disponible si Microsoft Defender for Identity sensor está instalado en servidores que ejecutan Microsoft Entra servicios connect y el método de inicio de sesión como parte de la configuración de Microsoft Entra Connect se establece en inicio de sesión único y existe la cuenta de equipo de SSO. Obtenga más información sobre Microsoft Entra inicio de sesión sin problemas aquí.

¿Por qué podría ser un riesgo la contraseña antigua de la cuenta de inicio de sesión único de conexión directa Microsoft Entra?

Microsoft Entra inicio de sesión único de conexión directa inicia sesión automáticamente en los usuarios cuando usan sus escritorios corporativos que están conectados a la red corporativa. El inicio de sesión único de conexión directa proporciona a los usuarios un fácil acceso a las aplicaciones basadas en la nube sin usar ningún otro componente local. Al configurar Microsoft Entra sso de conexión directa, se crea una cuenta de equipo denominada AZUREADSSOACC en Active Directory. De forma predeterminada, la contraseña de esta cuenta de equipo de Sso de Azure no se actualiza automáticamente cada 30 días. Esta contraseña funciona como un secreto compartido entre AD y Microsoft Entra, lo que permite Microsoft Entra descifrar los vales de Kerberos que se usan en el proceso de inicio de sesión único sin problemas entre Active Directory y Microsoft Entra ID. Si un atacante obtiene el control de esta cuenta, puede generar vales de servicio para la cuenta de AZUREADSSOACC en nombre de cualquier usuario y suplantar a cualquier usuario dentro del inquilino de Microsoft Entra que se haya sincronizado desde Active Directory. Esto podría permitir que un atacante se mueva lateralmente de Active Directory a Microsoft Entra ID.

Cómo usar esta evaluación de seguridad para mejorar mi posición de seguridad de la organización híbrida?

1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actionscambio de contraseña para Microsoft Entra cuenta de SSO de conexión directa.

2. Revise la lista de entidades expuestas para detectar cuál de las cuentas de equipo de SSO de Microsoft Entra tiene una contraseña de más de 90 días de antigüedad.

3. Realice las acciones adecuadas en esas cuentas siguiendo los pasos descritos en el artículo Sobre la contraseña de la cuenta de Entra SSO .

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza a los pocos minutos de la implementación de las recomendaciones, el estado todavía puede tardar tiempo hasta que se marca como Completado.

Pasos siguientes

• Más información sobre la puntuación segura de Microsoft

• Más información sobre Defender for Identity Sensor para Microsoft Entra Connect