Оценка безопасности: удалите ненужные разрешения репликации для учетной записи соединителя MICROSOFT ENTRA Connect AD DS.
В этой статье описываются ненужные разрешения репликации Microsoft Defender для удостоверений для отчета об оценке состояния безопасности учетной записи соединителя MICROSOFT ENTRA Connect (также известного как Azure AD Connect).
Примечание.
Эта оценка безопасности будет доступна только в том случае, если Microsoft Defender для удостоверений датчик установлен на серверах, работающих под управлением служб Microsoft Entra Connect.
Кроме того, если настроен метод входа в службу синхронизации хэша паролей (PHS), учетные записи соединителя AD DS с разрешениями репликации не будут затронуты, так как эти разрешения необходимы.
Почему может возникнуть риск для учетной записи соединителя Microsoft Entra Connect AD DS с ненужными разрешениями репликации?
Интеллектуальные злоумышленники, скорее всего, нацелятся на Microsoft Entra Connect в локальных средах, и по веской причине. Сервер Microsoft Entra Connect может быть основным целевым объектом, особенно на основе разрешений, назначенных учетной записи соединителя AD DS (созданной в локальной среде AD с префиксом MSOL_). В стандартной экспресс-установке Microsoft Entra Connect учетной записи службы соединителя предоставляются разрешения на репликацию, чтобы обеспечить правильную синхронизацию. Если синхронизация хэша паролей не настроена, важно удалить ненужные разрешения, чтобы свести к минимуму потенциальную область атаки.
Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности гибридной организации?
Ознакомьтесь с рекомендуемыми действиями в разделе https://security.microsoft.com/securescore?viewid=actions Удаление ненужных разрешений на репликацию для учетной записи соединителя Microsoft Entra Подключить AD DS.
Просмотрите список предоставленных сущностей, чтобы узнать, какие из учетных записей соединителя AD DS имеют ненужные разрешения на репликацию.
Выполните соответствующие действия с этими учетными записями и удалите их разрешения "Изменения каталога репликации" и "Все изменения каталога репликации", сняв следующие разрешения:
Важно!
Для сред с несколькими серверами Microsoft Entra Connect очень важно установить датчики на каждом сервере, чтобы Microsoft Defender для удостоверений могли полностью отслеживать настройку. Было обнаружено, что в конфигурации Microsoft Entra Connect не используется синхронизация хэша паролей, что означает, что разрешения репликации не нужны для учетных записей в списке Доступные сущности. Кроме того, важно убедиться, что каждая предоставленная учетная запись MSOL не требуется для разрешения репликации для других приложений.
Примечание.
Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.