Ocena zabezpieczeń: obracanie hasła dla konta łącznika usług AD DS Microsoft Entra Connect
W tym artykule opisano raport oceny stanu zabezpieczeń rotacji haseł konta Microsoft Defender for Identity Microsoft Entra Connect AD DS Connector.
Uwaga
Ta ocena zabezpieczeń będzie dostępna tylko wtedy, gdy czujnik Microsoft Defender for Identity jest zainstalowany na serwerach z uruchomionymi usługami Microsoft Entra Connect.
Dlaczego stare hasło Microsoft Entra Connect Connector może stanowić zagrożenie?
Inteligentne osoby atakujące mogą kierować Microsoft Entra Connect w środowiskach lokalnych i nie bez powodu. Serwer Microsoft Entra Connect może być głównym obiektem docelowym, zwłaszcza na podstawie uprawnień przypisanych do konta łącznika usług AD DS (utworzonego w lokalnej usłudze AD z prefiksem MSOL_).
Ten raport zawiera listę wszystkich kont MSOL w organizacji z hasłem ustawionym ostatnio ponad 90 dni temu. Ważne jest, aby co 90 dni zmieniać hasło kont MSOL, aby uniemożliwić osobom atakującym korzystanie z wysokich uprawnień, które zwykle posiada konto łącznika — uprawnienia do replikacji, resetowanie hasła itd.
Jak mogę użyć tej oceny zabezpieczeń, aby poprawić stan zabezpieczeń hybrydowej organizacji?
Zapoznaj się z zalecaną akcją pod adresem https://security.microsoft.com/securescore?viewid=actions **Rotate password for Microsoft Entra Connect AD DS Connector account (Połącz konto łącznika usług AD DS).
Przejrzyj listę ujawnionych jednostek, aby dowiedzieć się, które konta łącznika usług AD DS mają hasło starsze niż 90 dni.
Wykonaj odpowiednie działania na tych kontach, wykonując kroki zmiany hasła konta łącznika usług AD DS.
Uwaga
Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.