Suojauksen arviointi: Poista tarpeettomat replikointioikeudet Microsoft Entra Yhdistä AD DS -yhdistintiliä
Tässä artikkelissa kuvataan Microsoft Defender for Identity tarpeettomat replikointioikeudet Microsoft Entra Connectille (tunnetaan myös nimellä Azure AD Connect) AD DS Connector -tilin suojauksen tilan arviointiraporttiin.
Huomautus
Tämä suojausarviointi on käytettävissä vain, jos Microsoft Defender for Identity tunnistin on asennettu palvelimiin, jotka käyttävät Microsoft Entra Connect -palveluita.
Lisäksi jos Password Hash Sync (PHS) -kirjautumismenetelmä on määritetty, tämä ei vaikuta AD DS -liitintileihin, joilla on replikointioikeudet, koska nämä käyttöoikeudet ovat välttämättömiä.
Miksi tarpeettomat replikointioikeudet sisältävän AD DS Connector -tilin yhdistäminen Microsoft Entra voi olla riski?
Älykkäät hyökkääjät kohdistuvat todennäköisesti Microsoft Entra Muodosta yhteys paikallisissa ympäristöissä, ja hyvästä syystä. Microsoft Entra Connect -palvelin voi olla ensisijainen kohde, erityisesti AD DS Connector -tilille määritettyjen käyttöoikeuksien perusteella (luotu paikallisessa AD:ssä MSOL_ etuliitteellä). Microsoft Entra Connectin pikaasennuksen oletusasennuksessa liitinpalvelutilille myönnetään muun muassa replikointioikeudet asianmukaisen synkronoinnin varmistamiseksi. Jos salasanan hajautusarvon synkronointia ei ole määritetty, on tärkeää poistaa tarpeettomat käyttöoikeudet mahdollisen hyökkäyspinnan minimoimiseksi.
Ohjevalikko käyttää tätä suojausarviointia parantaakseen hybridiorganisaation suojausasentojani?
Tarkista suositeltu toiminto kohdasta https://security.microsoft.com/securescore?viewid=actions Poista tarpeettomat replikointioikeudet Microsoft Entra Yhdistä AD DS -yhdistintili.
Tarkastele näytettyjen entiteettien luetteloa selvittääksesi, millä AD DS -yhdistintililläsi on tarpeettomat replikointioikeudet.
Tee tarvittavat toimet näille tileille ja poista niiden Replikointihakemiston muutokset- ja Replikointihakemiston muutokset kaikki -oikeudet poistamalla seuraavat oikeudet:
Tärkeää
Ympäristöissä, joissa on useita Microsoft Entra Connect-palvelimia, on tärkeää asentaa tunnistimet kuhunkin palvelimeen sen varmistamiseksi, Microsoft Defender for Identity voivat täysin valvoa asennustasi. On havaittu, että Microsoft Entra Yhdistä-määritykset eivät käytä salasanan hajautusarvojen synkronointia, mikä tarkoittaa, että replikoinnin käyttöoikeudet eivät ole välttämättömiä Näytetyt entiteetit -luettelon tileissä. Lisäksi on tärkeää varmistaa, ettei mikään muu sovellus vaadi kutakin näytettyä MSOL-tiliä replikointioikeuksiin.
Huomautus
Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.