安全评估:更改Microsoft Entra无缝 SSO 帐户的密码
本文介绍Microsoft Defender for Identity Microsoft Entra无缝单一登录 (SSO) 帐户密码更改安全态势评估报告。
注意
仅当Microsoft Defender for Identity传感器安装在运行 Microsoft Entra Connect 服务的服务器上,并且登录方法作为Microsoft Entra Connect 配置的一部分设置为单一登录并且 SSO 计算机帐户存在时,此安全评估才可用。 在此处详细了解Microsoft Entra无缝登录。
为什么Microsoft Entra无缝 SSO 计算机帐户旧密码存在风险?
Microsoft Entra无缝 SSO 用户在使用连接到公司网络的企业桌面时自动登录。 无缝 SSO 使用户无需使用任何其他本地组件即可轻松访问基于云的应用程序。 设置 Microsoft Entra无缝 SSO 时,将在 Active Directory 中创建名为 AZUREADSSOACC 的计算机帐户。 默认情况下,此 Azure SSO 计算机帐户的密码不会每 30 天自动更新一次。 此密码充当 AD 与 Microsoft Entra 之间的共享机密,使Microsoft Entra能够解密 Active Directory 与 Microsoft Entra ID 之间无缝 SSO 过程中使用的 Kerberos 票证。 如果攻击者获得此帐户的控制,他们可以代表任何用户为 AZUREADSSOACC 帐户生成服务票证,并模拟已从 Active Directory 同步的 Microsoft Entra 租户中的任何用户。 这可能允许攻击者从 Active Directory 横向移动到Microsoft Entra ID。
如何实现使用此安全评估来改善混合组织安全状况?
查看 中的https://security.microsoft.com/securescore?viewid=actions建议操作,以更改Microsoft Entra无缝 SSO 帐户的密码。
查看公开的实体列表,了解哪些Microsoft Entra SSO 计算机帐户的密码超过 90 天。
按照 如何滚动更新 Entra SSO 帐户密码 一文中所述的步骤对这些帐户采取适当的操作。
注意
虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响实体的列表在实施建议后的几分钟内更新,但状态可能仍需要一段时间才能标记为 “已完成”。