Neuer Microsoft Entra Connect-Sensor

August 2024 Update

Neuer Microsoft Entra Connect-Sensor:
Im Rahmen unserer laufenden Bemühungen, die Abdeckung von Microsoft Defender for Identity in hybriden Identitätsumgebungen zu verbessern, haben wir einen neuen Sensor für Microsoft Entra Connect-Server eingeführt. Darüber hinaus haben wir 3 neue hybride Sicherheitserkennungen und 4 neue Empfehlungen zur Identitätshaltung speziell für Microsoft Entra Connect veröffentlicht, die Kunden dabei helfen, geschützt zu bleiben und potenzielle Risiken zu minimieren.

Neue Empfehlungen für Microsoft Entra Connect Identity posture:

• Passwort für Microsoft Entra Connect Connector-Konto ändern
  Ein kompromittiertes Microsoft Entra Connect-Konnektorkonto (AD DS-Konnektorkonto, üblicherweise als MSOL_XXXXXXXX angezeigt) kann Zugriff auf Funktionen mit hohen Berechtigungen wie Replikation und Kennwortrücksetzung gewähren, was es Angreifern ermöglicht, Synchronisationseinstellungen zu ändern und die Sicherheit sowohl in Cloud- als auch in lokalen Umgebungen zu gefährden. In dieser Bewertung empfehlen wir Kunden, das Kennwort von MSOL-Konten zu ändern, deren letztes Kennwort vor mehr als 90 Tagen festgelegt wurde. Für weitere Informationen klicken Sie hier.
• Entfernen unnötiger Replikationsberechtigungen für Microsoft Entra Connect-Konto
  Standardmäßig verfügt das Microsoft Entra Connect Connector-Konto über umfangreiche Berechtigungen, um eine ordnungsgemäße Synchronisierung zu gewährleisten (auch wenn diese eigentlich nicht erforderlich sind). Wenn Password Hash Sync nicht konfiguriert ist, ist es wichtig, unnötige Berechtigungen zu entfernen, um die potenzielle Angriffsfläche zu verringern. Für weitere Informationen klicken Sie hier
• Kennwort für Microsoft Entra Seamless SSO-Kontokonfiguration ändern
  Dieser Bericht listet alle Microsoft Entra Seamless SSO Computerkonten auf, deren Kennwort zuletzt vor mehr als 90 Tagen festgelegt wurde. Das Kennwort für das Azure SSO-Computerkonto wird nicht automatisch alle 30 Tage geändert. Wenn ein Angreifer dieses Konto kompromittiert, kann er Service-Tickets für das AZUREADSSOACC-Konto im Namen eines beliebigen Benutzers erstellen und sich als ein beliebiger Benutzer im Microsoft Entra-Tenant ausgeben, der mit Active Directory synchronisiert wird. Ein Angreifer kann dies nutzen, um seitlich von Active Directory in Microsoft Entra ID zu wechseln. Für weitere Informationen klicken Sie hier.

Neue Erkennungen von Microsoft Entra Connect:

• Verdächtige interaktive Anmeldung beim Microsoft Entra Connect Server
  Direkte Anmeldungen bei Microsoft Entra Connect-Servern sind höchst ungewöhnlich und potenziell bösartig. Angreifer haben es oft auf diese Server abgesehen, um Anmeldedaten für einen breiteren Netzwerkzugang zu stehlen. Microsoft Defender for Identity kann jetzt ungewöhnliche Anmeldungen bei Microsoft Entra Connect-Servern erkennen und hilft Ihnen so, diese potenziellen Bedrohungen schneller zu erkennen und darauf zu reagieren. Dies gilt insbesondere, wenn es sich bei dem Microsoft Entra Connect-Server um einen eigenständigen Server handelt, der nicht als Domänencontroller arbeitet.
• Zurücksetzen des Benutzerkennworts durch Microsoft Entra Connect-Konto
  Das Microsoft Entra Connect-Connector-Konto verfügt häufig über hohe Privilegien, einschließlich der Möglichkeit, die Passwörter von Benutzern zurückzusetzen. Microsoft Defender for Identity hat jetzt Einblick in diese Aktionen und erkennt jede Nutzung dieser Berechtigungen, die als böswillig und nicht rechtmäßig identifiziert wurde. Diese Warnung wird nur ausgelöst, wenn die Funktion zum Zurücksetzen von Kennwörtern deaktiviert ist.
• Verdächtiger Schreibzugriff durch Microsoft Entra Connect auf einen sensiblen Benutzer
  Während Microsoft Entra Connect bereits das Zurückschreiben von Kennwörtern für Benutzer in privilegierten Gruppen verhindert, erweitert Microsoft Defender for Identity diesen Schutz durch die Erkennung zusätzlicher Arten sensibler Konten. Diese verbesserte Erkennung hilft dabei, nicht autorisierte Kennwortrücksetzungen bei kritischen Konten zu verhindern, was ein entscheidender Schritt bei fortgeschrittenen Angriffen sein kann, die sowohl auf Cloud- als auch auf On-Premises-Umgebungen abzielen.

Zusätzliche Verbesserungen und Funktionen:

• Neue Aktivität jeder fehlgeschlagenen Kennwortrücksetzung für ein sensibles Konto, die in der Tabelle "IdentityDirectoryEvents" in Advanced Hunting verfügbar ist. Dadurch können Kunden Ereignisse für fehlgeschlagene Kennwortrücksetzungen nachverfolgen und auf der Grundlage dieser Daten benutzerdefinierte Erkennungen erstellen.
• Verbesserte Genauigkeit bei der Erkennung von DC-Sync-Angriffen.
• Neues Problem für Fälle, in denen der Sensor nicht in der Lage ist, die Konfiguration vom Microsoft Entra Connect-Dienst abzurufen.
• Erweiterte Überwachung für Sicherheitswarnungen, wie z.B. PowerShell Remote Execution Detector, durch Aktivierung des neuen Sensors auf Microsoft Entra Connect Servern.

Aktualisiertes DefenderForIdentity PowerShell-Modul
Das DefenderForIdentity PowerShell-Modul wurde aktualisiert, wobei neue Funktionen integriert und mehrere Fehler behoben wurden. Die wichtigsten Verbesserungen umfassen:

• Neues Cmdlet "New-MDIDSA": Vereinfacht die Erstellung von Dienstkonten mit einer Standardeinstellung für Group Managed Service Accounts (gMSA) und einer Option zur Erstellung von Standardkonten.
• Automatische PDCe-Erkennung: Verbessert die Zuverlässigkeit der Erstellung von Gruppenrichtlinienobjekten (GPOs), indem der Primary Domain Controller Emulator (PDCe) für die meisten Active Directory-Vorgänge automatisch erkannt wird.
• Manuelle Domänencontroller-Ausrichtung: Neuer Server-Parameter für Get/Set/Test-MDIConfiguration-Cmdlets, mit dem Sie einen Domänencontroller für die Ausrichtung anstelle des PDCe angeben können.