Ocena zabezpieczeń: zmienianie hasła dla Microsoft Entra bezproblemowego konta logowania jednokrotnego

W tym artykule opisano Microsoft Entra bezproblemowego logowania jednokrotnego (SSO) konta Microsoft Defender for Identity raport oceny stanu zabezpieczeń zmiany stanu zabezpieczeń.

Uwaga

Ta ocena zabezpieczeń będzie dostępna tylko wtedy, gdy czujnik Microsoft Defender for Identity jest zainstalowany na serwerach z uruchomionymi usługami Microsoft Entra Connect i metodą logowania w ramach konfiguracji programu Microsoft Entra Connect jest ustawiona na logowanie jednokrotne i istnieje konto komputera logowania jednokrotnego. Dowiedz się więcej na temat Microsoft Entra bezproblemowego logowania tutaj.

Dlaczego Microsoft Entra bezproblemowe hasło do konta komputera logowania jednokrotnego może stanowić zagrożenie?

Microsoft Entra bezproblemowe logowanie jednokrotne automatycznie loguje użytkowników podczas korzystania z pulpitów firmowych połączonych z siecią firmową. Bezproblemowe logowanie jednokrotne zapewnia użytkownikom łatwy dostęp do aplikacji opartych na chmurze bez używania innych składników lokalnych. Podczas konfigurowania Microsoft Entra bezproblemowego logowania jednokrotnego w usłudze Active Directory jest tworzone konto komputera o nazwie AZUREADSSOACC. Domyślnie hasło dla tego konta komputera logowania jednokrotnego platformy Azure nie jest automatycznie aktualizowane co 30 dni. To hasło działa jako wspólny wpis tajny między usługami AD i Microsoft Entra, umożliwiając Microsoft Entra odszyfrowywanie biletów Kerberos używanych w bezproblemowym procesie logowania jednokrotnego między usługą Active Directory i Tożsamość Microsoft Entra. Jeśli osoba atakująca uzyska kontrolę nad tym kontem, może wygenerować bilety usługi dla konta AZUREADSSOACC w imieniu dowolnego użytkownika i personifikować dowolnego użytkownika w dzierżawie Microsoft Entra, który został zsynchronizowany z usługi Active Directory. Może to umożliwić atakującemu późniejsze przejście z usługi Active Directory do Tożsamość Microsoft Entra.

Jak mogę użyć tej oceny zabezpieczeń, aby poprawić stan zabezpieczeń hybrydowej organizacji?

1. Zapoznaj się z zalecaną akcją w https://security.microsoft.com/securescore?viewid=actionstemacie Zmienianie hasła w celu Microsoft Entra bezproblemowego konta logowania jednokrotnego.

2. Przejrzyj listę uwidocznionych jednostek, aby dowiedzieć się, które z kont komputera logowania jednokrotnego Microsoft Entra mają hasło starsze niż 90 dni.

3. Wykonaj odpowiednie działania na tych kontach, wykonując kroki opisane w artykule dotyczącym przerzucania hasła konta logowania jednokrotnego w aplikacji Entra .

Uwaga

Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Następne kroki

• Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft

• Dowiedz się więcej o usłudze Defender for Identity Sensor for Microsoft Entra Connect