Avaliação de segurança: Alterar a senha da conta SSO contínua do Microsoft Entra
Este artigo descreve o relatório de avaliação de postura de segurança de alteração de senha da conta Microsoft Entra Seamless Single sign-on (SSO) do Microsoft Defender for Identity.
Nota
Essa avaliação de segurança estará disponível somente se o sensor Microsoft Defender for Identity estiver instalado em servidores que executam os serviços do Microsoft Entra Connect e o método de logon como parte da configuração do Microsoft Entra Connect estiver definido como logon único e a conta de computador SSO existir. Saiba mais sobre o logon contínuo do Microsoft Entra aqui.
Por que a senha antiga da conta de computador SSO do Microsoft Entra pode ser um risco?
O SSO contínuo do Microsoft Entra entra automaticamente nos usuários quando eles estão usando suas áreas de trabalho corporativas conectadas à sua rede corporativa. O SSO contínuo fornece aos seus usuários acesso fácil aos seus aplicativos baseados em nuvem sem usar nenhum outro componente local. Ao configurar o Microsoft Entra Seamless SSO, uma conta de computador chamada AZUREADSSOACC é criada no Ative Directory. Por padrão, a senha para essa conta de computador do Azure SSO não é atualizada automaticamente a cada 30 dias. Essa senha funciona como um segredo compartilhado entre o AD e o Microsoft Entra, permitindo que o Microsoft Entra descriptografe tíquetes Kerberos usados no processo de SSO contínuo entre o Ative Directory e o Microsoft Entra ID. Se um invasor ganhar o controle dessa conta, ele poderá gerar tíquetes de serviço para a conta AZUREADSSOACC em nome de qualquer usuário e representar qualquer usuário dentro do locatário do Microsoft Entra que tenha sido sincronizado do Ative Directory. Isso pode permitir que um invasor se mova lateralmente do Ative Directory para o Microsoft Entra ID.
Como posso utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional híbrida?
Analise a ação recomendada em Alterar senha para https://security.microsoft.com/securescore?viewid=actions a conta SSO contínua do Microsoft Entra.
Reveja a lista de entidades expostas para descobrir quais das suas contas de computador Microsoft Entra SSO têm uma palavra-passe com mais de 90 dias.
Tome as medidas apropriadas nessas contas seguindo as etapas descritas no artigo Como alterar a senha da conta do Conector AD DS.
Nota
Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.