Valutazione della sicurezza: rimuovere le autorizzazioni di replica non necessarie per Microsoft Entra account Connect AD DS Connector
Questo articolo descrive le autorizzazioni di replica non necessarie di Microsoft Defender per identità per Microsoft Entra Connect (noto anche come Azure AD Connect) Report di valutazione del comportamento di sicurezza dell'account di AD DS Connector.
Nota
Questa valutazione della sicurezza sarà disponibile solo se Microsoft Defender per identità sensore è installato nei server che eseguono Microsoft Entra servizi Connect.
Inoltre, se il metodo di accesso PHS (Password Hash Sync) è configurato, gli account di Ad DS Connector con autorizzazioni di replica non saranno interessati perché sono necessarie.
Perché l'account Microsoft Entra Connect AD DS Connector con autorizzazioni di replica non necessarie potrebbe essere un rischio?
È probabile che gli utenti malintenzionati intelligenti siano destinati a Microsoft Entra Connect in ambienti locali e per un buon motivo. Il server Microsoft Entra Connect può essere una destinazione primaria, in particolare in base alle autorizzazioni assegnate all'account di Ad DS Connector (creato in AD locale con il prefisso MSOL_). Nell'installazione "rapida" predefinita di Microsoft Entra Connect, all'account del servizio connettore vengono concesse le autorizzazioni di replica, tra le altre, per garantire la corretta sincronizzazione. Se la sincronizzazione hash delle password non è configurata, è importante rimuovere le autorizzazioni non necessarie per ridurre al minimo la potenziale superficie di attacco.
Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza aziendale ibrido?
Esaminare l'azione consigliata all'indirizzo https://security.microsoft.com/securescore?viewid=actions per Rimuovere le autorizzazioni di replica non necessarie per Microsoft Entra account Connect AD DS Connector.
Esaminare l'elenco delle entità esposte per individuare quali account del connettore di Active Directory Domain Services hanno autorizzazioni di replica non necessarie.
Eseguire le azioni appropriate per tali account e rimuovere le autorizzazioni "Modifiche alla directory di replica" e "Modifiche alla directory di replica tutte" deselezionando le autorizzazioni seguenti:
Importante
Per gli ambienti con più server connect Microsoft Entra, è fondamentale installare sensori in ogni server per garantire che Microsoft Defender per identità possa monitorare completamente la configurazione. È stato rilevato che la configurazione di Microsoft Entra Connect non utilizza Sincronizzazione hash password, il che significa che le autorizzazioni di replica non sono necessarie per gli account nell'elenco Entità esposte. Inoltre, è importante assicurarsi che ogni account MSOL esposto non sia necessario per le autorizzazioni di replica da altre applicazioni.
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Anche se l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.