Beveiligingsevaluatie: wachtwoord wijzigen voor Microsoft Entra naadloze SSO-account

In dit artikel wordt het evaluatierapport voor wachtwoordwijziging van Microsoft Defender for Identity van Microsoft Entra naadloze eenmalige aanmelding (SSO) beschreven.

Opmerking

Deze beveiligingsevaluatie is alleen beschikbaar als Microsoft Defender for Identity sensor is geïnstalleerd op servers met Microsoft Entra Connect-services en de aanmeldingsmethode als onderdeel van Microsoft Entra Connect-configuratie is ingesteld op eenmalige aanmelding en het SSO-computeraccount bestaat. Meer informatie over Microsoft Entra naadloze aanmelding vindt u hier.

Waarom kan het oude wachtwoord van het Microsoft Entra naadloze SSO-computeraccount een risico zijn?

Microsoft Entra naadloze eenmalige aanmelding meldt gebruikers automatisch aan wanneer ze hun bedrijfscomputer gebruiken die zijn verbonden met uw bedrijfsnetwerk. Naadloze eenmalige aanmelding biedt uw gebruikers eenvoudige toegang tot uw cloudtoepassingen zonder andere on-premises onderdelen te gebruiken. Bij het instellen van Microsoft Entra naadloze eenmalige aanmelding wordt een computeraccount met de naam AZUREADSSOACC gemaakt in Active Directory. Standaard wordt het wachtwoord voor dit Azure SSO-computeraccount niet elke 30 dagen automatisch bijgewerkt. Dit wachtwoord fungeert als een gedeeld geheim tussen AD en Microsoft Entra, waardoor Microsoft Entra Kerberos-tickets kunnen ontsleutelen die worden gebruikt in het naadloze SSO-proces tussen Active Directory en Microsoft Entra ID. Als een aanvaller de controle over dit account krijgt, kan deze namens elke gebruiker servicetickets genereren voor het AZUREADSSOACC-account en een gebruiker imiteren binnen de Microsoft Entra tenant die is gesynchroniseerd vanuit Active Directory. Hierdoor kan een aanvaller lateraal van Active Directory naar Microsoft Entra ID gaan.

Hoe kan ik deze beveiligingsevaluatie gebruiken om mijn hybride organisatiebeveiligingspostuur te verbeteren?

1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions voor Wachtwoord wijzigen voor Microsoft Entra naadloze SSO-account.

2. Bekijk de lijst met weergegeven entiteiten om te ontdekken welke van uw Microsoft Entra SSO-computeraccounts een wachtwoord hebben dat meer dan 90 dagen oud is.

3. Voer de juiste actie uit voor deze accounts door de stappen te volgen die worden beschreven in het artikel Het wachtwoord voor het Entra SSO-account overschakelen .

Opmerking

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen enkele minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren totdat deze is gemarkeerd als Voltooid.

Volgende stappen

• Meer informatie over Microsoft Secure Score

• Meer informatie over Defender for Identity Sensor voor Microsoft Entra Connect