安全评估:轮换 Microsoft Entra Connect AD DS 连接器帐户的密码

本文介绍Microsoft Defender for Identity Microsoft Entra Connect AD DS 连接器帐户密码轮换安全态势评估报告。

注意

仅当Microsoft Defender for Identity传感器安装在运行 Microsoft Entra Connect 服务的服务器上时,此安全评估才可用。

为什么 Microsoft Entra Connect 连接器帐户旧密码存在风险?

聪明的攻击者可能会在本地环境中以 Microsoft Entra Connect 为目标,这是有充分理由的。 Microsoft Entra Connect 服务器可以是主要目标,特别是基于分配给 AD DS 连接器帐户的权限, (在本地 AD 中创建,MSOL_前缀) 。

此报告列出了组织中密码上次设置超过 90 天的所有 MSOL 帐户。 请务必每 90 天更改一次 MSOL 帐户的密码,以防止攻击者允许使用连接器帐户通常拥有的高特权(复制权限、重置密码等)。

如何实现使用此安全评估来改善混合组织安全状况?

  1. 在 中查看建议的操作 https://security.microsoft.com/securescore?viewid=actions,了解Microsoft Entra Connect AD DS 连接器帐户的轮换密码。

  2. 查看公开的实体列表,了解哪些 AD DS 连接器帐户的密码超过 90 天。

  3. 按照 有关如何更改 AD DS 连接器帐户密码的步骤对这些帐户采取适当的操作。

注意

虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响实体的列表在实施建议后的几分钟内更新,但状态可能仍需要一段时间才能标记为 “已完成”。

后续步骤