Valutazione della sicurezza: rimuovere le autorizzazioni di replica non necessarie per l'account connettore di Active Directory Domain Services di Microsoft Entra Connect
Questo articolo descrive le autorizzazioni di replica non necessarie di Microsoft Defender per identità per Microsoft Entra Connect (noto anche come Azure AD Connect) report di valutazione del comportamento di sicurezza dell'account di Active Directory Domain Services Connector.
Nota
Questa valutazione della sicurezza sarà disponibile solo se Microsoft Defender per identità sensore è installato nei server che eseguono i servizi Microsoft Entra Connect.
Inoltre, se il metodo di accesso phS (Password Hash Sync) è configurato, gli account del connettore di Active Directory Domain Services con autorizzazioni di replica non saranno interessati perché tali autorizzazioni sono necessarie.
Perché l'account del connettore di Active Directory Domain Services di Microsoft Entra Connect con autorizzazioni di replica non necessarie può essere un rischio?
Gli utenti malintenzionati intelligenti sono probabilmente destinati a Microsoft Entra Connect in ambienti locali e per una buona ragione. Il server Microsoft Entra Connect può essere una destinazione primaria, in particolare in base alle autorizzazioni assegnate all'account del connettore di Active Directory Domain Services (creato in ACTIVE Directory locale con il prefisso MSOL_). Nell'installazione predefinita "express" di Microsoft Entra Connect, all'account del servizio connettore vengono concesse autorizzazioni di replica, tra le altre, per garantire una corretta sincronizzazione. Se la sincronizzazione dell'hash delle password non è configurata, è importante rimuovere autorizzazioni non necessarie per ridurre al minimo la potenziale superficie di attacco.
Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza dell'organizzazione ibrida?
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per Rimuovere le autorizzazioni di replica non necessarie per l'account connettore di Active Directory Domain Services di Microsoft Entra Connect.
Esaminare l'elenco delle entità esposte per individuare quali account del connettore di Active Directory Domain Services dispongono di autorizzazioni di replica non necessarie.
Eseguire un'azione appropriata su tali account e rimuovere le autorizzazioni "Modifiche directory di replica" e "Replication Directory Changes All" deselezionando le autorizzazioni seguenti:
Importante
Per gli ambienti con più server Microsoft Entra Connect, è fondamentale installare sensori in ogni server per garantire che Microsoft Defender per identità possa monitorare completamente la configurazione. È stato rilevato che la configurazione di Microsoft Entra Connect non utilizza la sincronizzazione dell'hash delle password, il che significa che le autorizzazioni di replica non sono necessarie per gli account nell'elenco Entità esposte. Inoltre, è importante assicurarsi che ogni account MSOL esposto non sia necessario per le autorizzazioni di replica da parte di altre applicazioni.
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Mentre l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.