安全性評估:變更 Microsoft Entra 順暢 SSO 帳戶的密碼
本文說明 適用於身分識別的 Microsoft Defender 的 Microsoft Entra 無縫單一登錄 (SSO) 帳戶密碼變更安全性狀態評估報告。
注意事項
只有在執行 Microsoft Entra Connect 服務和登入方法的伺服器上安裝 適用於身分識別的 Microsoft Defender 感測器,Microsoft Entra Connect 組態設定為單一登錄且 SSO 計算機帳戶存在時,才能使用此安全性評估。 在這裡深入瞭解 Microsoft Entra 順暢的登入。
為什麼 Microsoft Entra 順暢的 SSO 計算機帳戶舊密碼會成為風險?
Microsoft Entra 無縫 SSO 會在使用者使用連線到公司網路的公司桌面時自動登入使用者。 無縫 SSO 可讓使用者輕鬆存取雲端式應用程式,而不需要使用任何其他內部部署元件。 設定 Microsoft Entra 無縫 SSO 時,會在 Active Directory 中建立名為 AZUREADSSOACC 的電腦帳戶。 根據預設,此 Azure SSO 計算機帳戶的密碼不會每隔 30 天自動更新一次。 此密碼可作為 AD 與 Microsoft Entra 之間的共享密碼,讓 Microsoft Entra 解密 Active Directory 與 Microsoft Entra ID 之間順暢 SSO 程式中使用的 Kerberos 票證。 如果攻擊者取得此帳戶的控制權,他們可以代表任何用戶產生 AZUREADSSOACC 帳戶的服務票證,並模擬已從 Active Directory 同步處理之 Microsoft Entra 租使用者內的任何使用者。 這可能會讓攻擊者橫向從 Active Directory 移至 Microsoft Entra ID。
如何? 使用此安全性評量來改善我的混合式組織安全性狀態嗎?
請檢閱針對 https://security.microsoft.com/securescore?viewid=actionsMicrosoft Entra 無縫 SSO 帳戶變更密碼的建議動作。
檢閱公開的實體清單,以探索哪些 Microsoft Entra SSO 計算機帳戶的密碼超過 90 天。
依照 如何變換 Entra SSO 帳戶密碼 一文中所述的步驟,對這些帳戶採取適當的動作。
注意事項
當評量以近乎即時的方式更新時,每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間,直到標示為已 完成為止。