Ocena zabezpieczeń: usuwanie niepotrzebnych uprawnień replikacji dla konta łącznika usług AD DS Microsoft Entra Connect

W tym artykule opisano niepotrzebne uprawnienia do replikacji Microsoft Defender for Identity dla Microsoft Entra Connect (znanego również jako Azure AD Connect) raport oceny stanu zabezpieczeń konta łącznika usług AD DS.

Uwaga

Ta ocena zabezpieczeń będzie dostępna tylko wtedy, gdy czujnik Microsoft Defender for Identity jest zainstalowany na serwerach z uruchomionymi usługami Microsoft Entra Connect.

Ponadto jeśli skonfigurowano metodę logowania synchronizacji skrótów haseł (PHS), konta łącznika usług AD DS z uprawnieniami do replikacji nie będą miały wpływu, ponieważ te uprawnienia są niezbędne.

Dlaczego konto łącznika usługi AD DS Microsoft Entra Connect z niepotrzebnymi uprawnieniami do replikacji może stanowić zagrożenie?

Inteligentne osoby atakujące mogą kierować Microsoft Entra Connect w środowiskach lokalnych i nie bez powodu. Serwer Microsoft Entra Connect może być głównym obiektem docelowym, zwłaszcza na podstawie uprawnień przypisanych do konta łącznika usług AD DS (utworzonego w lokalnej usłudze AD z prefiksem MSOL_). W domyślnej instalacji "ekspresowej" programu Microsoft Entra Connect konto usługi łącznika otrzymuje między innymi uprawnienia replikacji w celu zapewnienia właściwej synchronizacji. Jeśli synchronizacja skrótów haseł nie jest skonfigurowana, ważne jest usunięcie niepotrzebnych uprawnień w celu zminimalizowania potencjalnej powierzchni ataku.

Jak mogę użyć tej oceny zabezpieczeń, aby poprawić stan zabezpieczeń hybrydowej organizacji?

1. Zapoznaj się z zalecaną akcją w temacie https://security.microsoft.com/securescore?viewid=actions Usuwanie niepotrzebnych uprawnień replikacji dla konta łącznika usług AD DS Microsoft Entra Connect.

2. Przejrzyj listę uwidocznionych jednostek, aby dowiedzieć się, które konta łącznika usług AD DS mają niepotrzebne uprawnienia do replikacji.

3. Wykonaj odpowiednie działania na tych kontach i usuń ich uprawnienia "Zmiany katalogu replikacji" i "Katalog replikacji zmienia wszystko", usuwając zaznaczenie następujących uprawnień:

Ważna

W przypadku środowisk z wieloma serwerami Microsoft Entra Connect niezwykle ważne jest zainstalowanie czujników na każdym serwerze w celu zapewnienia, że Microsoft Defender for Identity może w pełni monitorować konfigurację. Wykryto, że konfiguracja Microsoft Entra Connect nie korzysta z synchronizacji skrótów haseł, co oznacza, że uprawnienia replikacji nie są niezbędne dla kont na liście Uwidocznione jednostki. Ponadto ważne jest, aby upewnić się, że każde uwidocznione konto MSOL nie jest wymagane dla uprawnień replikacji przez inne aplikacje.

Uwaga

Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Następne kroki

• Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft
• Dowiedz się więcej o usłudze Defender for Identity Sensor for Microsoft Entra Connect