安全评估：轮换 Microsoft Entra Connect AD DS 连接器帐户的密码

本文介绍 Microsoft Defender for Identity 的 Microsoft Entra Connect AD DS 连接器帐户密码轮换安全状况态势报告。

注意

仅当在运行 Microsoft Entra Connect 服务的服务器上安装了 Microsoft Defender for Identity 传感器时，此安全评估才可用。

为什么 Microsoft Entra Connect 连接器帐户旧密码可能有风险？

聪明的攻击者可能会出于充分原因针对本地环境中的 Microsoft Entra Connect。 Microsoft Entra Connect 服务器可能是主要目标，特别是基于分配给 AD DS 连接器帐户的权限（使用 MSOL_ 前缀在本地 AD 中创建）。

此报表列出组织中上次设置的密码已超过 90 天的所有 MSOL 帐户。 请务必每隔 90 天更改 MSOL 帐户的密码一次，以防止攻击者使用连接器帐户通常持有的高特权，即复制权限、重置密码等。

如何实现使用此安全评估优化混合组织的安全态势？

1. 在**“轮换 Microsoft Entra Connect AD DS 连接器帐户的密码”的 https://security.microsoft.com/securescore?viewid=actions 查看建议的操作。

2. 查看公开的实体列表，以发现哪些 AD DS 连接器帐户的密码已超过 90 天。

3. 按照有关如何更改 AD DS 连接器帐户密码的步骤对这些帐户执行适当的操作。

注意

虽然评估会近实时更新，但分数和状态只会每隔 24 小时更新一次。 虽然受影响实体的列表会在实施建议后的几分钟内更新，但可能需要一段时间才能将状态标记为已完成。

后续步骤

• 详细了解 Microsoft 安全功能分数

• 详细了解适用于 Microsoft Entra Connect 的 Defender for Identity 传感器