セキュリティ評価: Microsoft Entra Connect AD DS Connector アカウントのパスワードをローテーションする
この記事では、Microsoft Defender for Identityの Microsoft Entra Connect AD DS Connector アカウントのパスワード ローテーション セキュリティ態勢評価レポートについて説明します。
注:
このセキュリティ評価は、Microsoft Defender for Identity センサーが Microsoft Entra Connect サービスを実行しているサーバーにインストールされている場合にのみ使用できます。
Microsoft Entra Connect Connector アカウントの古いパスワードがリスクになるのはなぜですか?
スマート攻撃者は、オンプレミス環境で Microsoft Entra Connect をターゲットにする可能性が高く、正当な理由があります。 Microsoft Entra Connect サーバーは、特に AD DS Connector アカウントに割り当てられたアクセス許可 (MSOL_ プレフィックスを持つオンプレミス AD で作成) に基づいて、主要なターゲットにすることができます。
このレポートには、90 日前にパスワードが最後に設定された、organization内のすべての MSOL アカウントが一覧表示されます。 MSOL アカウントのパスワードを 90 日ごとに変更して、攻撃者がコネクタ アカウントが通常保持する高い特権 (レプリケーションのアクセス許可、パスワードのリセットなど) の使用を許可できないようにすることが重要です。
このセキュリティ評価を使用して、ハイブリッド組織のセキュリティ体制を改善操作方法。
**Connect AD DS Connector アカウントのパスワードをローテーションするMicrosoft Entraについては https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認してください。
公開されているエンティティの一覧を確認して、90 日を超えるパスワードを持つ AD DS コネクタ アカウントを検出します。
AD DS Connector アカウント のパスワードを変更する方法に関する手順に従って、これらのアカウントに対して適切なアクションを実行します。
注:
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。