Avaliação de Segurança: Remover permissões de replicação desnecessárias para a conta do Conector do AD DS do Microsoft Entra Connect

Este artigo descreve as permissões de replicação desnecessárias do Microsoft Defender para Identidade para o Microsoft Entra Connect (também conhecido como Azure AD Connect) relatório de avaliação da postura de segurança da conta do Conector do AD DS.

Nota

Esta avaliação de segurança só estará disponível se Microsoft Defender para Identidade sensor estiver instalado em servidores com Microsoft Entra Connect Services.

Além disso, se o método de início de sessão da Sincronização hash de palavras-passe (PHS) estiver configurado, as contas do Conector do AD DS com permissões de replicação não serão afetadas porque essas permissões são necessárias.

Por que motivo o Microsoft Entra ligar a conta do Conector do AD DS com permissões de replicação desnecessárias pode ser um risco?

É provável que os atacantes inteligentes sejam visados Microsoft Entra Ligar em ambientes no local e por um bom motivo. O servidor do Microsoft Entra Connect pode ser um destino principal, especialmente com base nas permissões atribuídas à conta do Conector do AD DS (criada no AD no local com o prefixo MSOL_). Na instalação "express" predefinida do Microsoft Entra Connect, é concedida à conta de serviço do conector permissões de replicação, entre outras, para garantir uma sincronização adequada. Se a Sincronização hash de palavras-passe não estiver configurada, é importante remover permissões desnecessárias para minimizar a potencial superfície de ataque.

Como devo proceder para utilizar esta avaliação de segurança para melhorar a minha postura de segurança organizacional híbrida?

1. Veja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions Remover permissões de replicação desnecessárias para Microsoft Entra conta do Conector do AD DS do Connect.

2. Reveja a lista de entidades expostas para descobrir quais das suas contas do Conector do AD DS têm permissões de replicação desnecessárias.

3. Tome as medidas adequadas nessas contas e remova as respetivas permissões "Alterações do Diretório de Replicação" e "Replicação de Diretório Altera Tudo" ao desmarcar as seguintes permissões:

Importante

Para ambientes com vários servidores do Microsoft Entra Connect, é fundamental instalar sensores em cada servidor para garantir que Microsoft Defender para Identidade conseguem monitorizar totalmente a configuração. Foi detetado que a configuração do Microsoft Entra Connect não utiliza a Sincronização hash de palavras-passe, o que significa que as permissões de replicação não são necessárias para as contas na lista Entidades Expostas. Além disso, é importante garantir que cada conta MSOL exposta não é necessária para permissões de replicação por outras aplicações.

Nota

Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, o estado ainda pode demorar algum tempo até estar marcado como Concluído.

Passos seguintes

• Saiba mais sobre a Classificação de Segurança da Microsoft
• Saiba mais sobre o Sensor do Defender para Identidade para Microsoft Entra Connect