安全性評估:移除 Microsoft Entra Connect AD DS 連接器帳戶的不必要復寫許可權
本文說明 Microsoft Entra Connect (也稱為 Azure AD Connect) AD DS 連接器帳戶安全性狀態評估報告 適用於身分識別的 Microsoft Defender 不必要的復寫許可權。
注意事項
只有在執行 Microsoft Entra Connect 服務的伺服器上安裝 適用於身分識別的 Microsoft Defender 感測器時,才能使用此安全性評估。
此外,如果已設定密碼哈希同步 (PHS) 登入方法,則具有複寫許可權的 AD DS 連接器帳戶將不會受到影響,因為這些許可權是必要的。
為什麼 Microsoft Entra 具有不必要復寫許可權的 Connect AD DS 連接器帳戶會造成風險?
智慧型手機攻擊者可能會以內部部署環境中的 Microsoft Entra Connect 為目標,而且有充分的理由。 Microsoft Entra Connect 伺服器可以是主要目標,特別是根據指派給 AD DS 連接器帳戶的許可權, (使用MSOL_前置詞) 在內部部署 AD 中建立。 在 Microsoft Entra Connect 的預設「快速」安裝中,連接器服務帳戶會獲得復寫許可權,以確保正確同步處理。 如果未設定密碼哈希同步,請務必移除不必要的許可權,以將潛在的受攻擊面降到最低。
如何? 使用此安全性評量來改善我的混合式組織安全性狀態嗎?
如需移除 Microsoft Entra Connect AD DS 連接器帳戶的不必要複寫許可權,請檢閱 建議的動作https://security.microsoft.com/securescore?viewid=actions:
檢閱公開的實體清單,以探索哪些 AD DS 連接器帳戶具有不必要的復寫許可權。
取消核取下列許可權,對這些帳戶採取適當的動作,並移除其「複寫目錄變更」和「複寫目錄全部變更」許可權:
重要事項
對於具有多部 Microsoft Entra Connect 伺服器的環境,請務必在每部伺服器上安裝感測器,以確保 適用於身分識別的 Microsoft Defender 能夠完全監視您的安裝程式。 偵測到您的 Microsoft Entra Connect 設定未使用密碼哈希同步處理,這表示公開實體清單中的帳戶不需要復寫許可權。 此外,請務必確保任何其他應用程式的復寫許可權不需要每個公開的 MSOL 帳戶。
注意事項
當評量以近乎即時的方式更新時,每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間,直到標示為已 完成為止。