Avaliação de Segurança: Alterar a palavra-passe para Microsoft Entra conta SSO totalmente integrada
Este artigo descreve Microsoft Defender para Identidade Microsoft Entra relatório de avaliação da postura de segurança de alteração da postura de segurança da alteração da postura de segurança do início de sessão único totalmente integrado (SSO) do Microsoft Defender para Identidade.
Nota
Esta avaliação de segurança só estará disponível se Microsoft Defender para Identidade sensor estiver instalado em servidores que executem os serviços do Microsoft Entra Connect e o método Iniciar sessão como parte da configuração do Microsoft Entra Connect estiver definido como início de sessão único e a conta de computador SSO existir. Saiba mais sobre Microsoft Entra início de sessão totalmente integrado aqui.
Por que motivo a Microsoft Entra palavra-passe antiga de conta de computador SSO totalmente integrada pode ser um risco?
Microsoft Entra SSO totalmente integrado inicia sessão automaticamente aos utilizadores quando estão a utilizar os ambientes de trabalho empresariais que estão ligados à sua rede empresarial. O SSO Totalmente Integrado proporciona aos seus utilizadores acesso fácil às suas aplicações baseadas na cloud sem utilizar outros componentes no local. Ao configurar Microsoft Entra SSO Totalmente Integrado, é criada uma conta de computador com o nome AZUREADSSOACC no Active Directory. Por predefinição, a palavra-passe desta conta de computador SSO do Azure não é atualizada automaticamente a cada 30 dias. Esta palavra-passe funciona como um segredo partilhado entre o AD e o Microsoft Entra, permitindo Microsoft Entra desencriptar permissões Kerberos utilizadas no processo de SSO totalmente integrado entre o Active Directory e Microsoft Entra ID. Se um atacante obtiver o controlo desta conta, pode gerar pedidos de assistência para a conta AZUREADSSOACC em nome de qualquer utilizador e representar qualquer utilizador no inquilino Microsoft Entra que tenha sido sincronizado a partir do Active Directory. Isto pode permitir que um atacante se mova lateralmente do Active Directory para o Microsoft Entra ID.
Como devo proceder para utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional híbrida?
Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actionsPara Alterar palavra-passe para Microsoft Entra conta SSO totalmente integrada.
Reveja a lista de entidades expostas para descobrir quais das suas contas de computador do Microsoft Entra SSO têm uma palavra-passe com mais de 90 dias.
Tome as medidas adequadas nessas contas ao seguir os passos descritos no artigo Sobre como implementar a palavra-passe da conta Do Entra SSO .
Nota
Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, o estado ainda pode demorar algum tempo até estar marcado como Concluído.