Microsoft Entra SSO 帐户密码的上次更改
high
语言:
描述
每个使用 Microsoft Entra ID 无缝 SSO 功能的 Active Directory 都包含一个特殊的计算机帐户,即 AZUREADSSOACC。 此帐户持有用于从本地域到 Microsoft Entra ID 进行用户身份验证的主密钥,因此必须不惜一切代价加以保护。
解决方案
更改 AZUREADSSOACC 帐户密钥是一项特殊操作,需要使用 Microsoft 脚本。
另见
Quickstart: Microsoft Entra seamless single sign-on
How can I roll over the Kerberos decryption key of the AZUREADSSO computer account?
Microsoft Entra seamless single sign-on: Technical deep dive
指标详细信息
名称: Microsoft Entra SSO 帐户密码的上次更改
代码名称: C-AAD-SSO-PASSWORD
严重性: High
类型: Active Directory Indicator of Exposure
Family: 身份验证和凭据
- 策略: TA0004 - 特权提升
- 技术: T1078 - 有效帐户
- 策略: TA0003 - 持久性