Ви коли-небудь замислювались, чи є ваш сервер Azure AD Connect справді захищеним?
Якщо цей сервер не обмежений для адміністраторів домену та не захищений як актив Tier 0, ви перебуваєте під загрозою. Зловмисники можуть використати цей сервер для компрометації як вашого локального AD, так і Azure AD середовища.
З цього сервера можна легко експортувати паролі у відкритому вигляді для облікових записів MSOL* і Sync_*. Обліковий запис MSOL з привілеєм DC Sync може маніпулювати вашим Active Directory, а обліковий запис Sync може скинути паролі для будь-якого синхронізованого чи тільки хмарного облікового запису.
Без належних заходів безпеки цей сервер може стати значною вразливістю. Пам'ятайте, що захист вашого гібридного середовища означає забезпечення безпеки як вашого хмарного, так і локального Active Directory.
Перекладено з: 🔒Secure Bits💡