Sdílet prostřednictvím

Poradce microsoftu pro zabezpečení 4033453

  • Článek

Ohrožení zabezpečení ve službě Azure AD Připojení by mohlo umožnit zvýšení oprávnění

Publikováno: 27. června 2017

Verze: 1.0

Shrnutí

Společnost Microsoft vydává tento poradce pro zabezpečení, aby informovala zákazníky, že je k dispozici nová verze Připojení Azure Active Directory (AD), která řeší důležité ohrožení zabezpečení.

Tato aktualizace řeší chybu zabezpečení, která by mohla umožnit zvýšení oprávnění, pokud je při povolování chybně nakonfigurovaný zpětný zápis hesla azure AD Připojení. Útočník, který tuto chybu zabezpečení úspěšně zneužil, by mohl resetovat hesla a získat neoprávněný přístup k libovolným místním uživatelským účtům privilegované službou AD.

Tento problém je vyřešený v nejnovější verzi (1.1.553.0) služby Azure AD Připojení tím, že nepovoluje libovolné resetování hesla do místních uživatelských účtů s oprávněními AD.

Podrobnosti o poradci

Zpětný zápis hesla je součástí služby Azure AD Připojení. Umožňuje uživatelům nakonfigurovat Azure AD tak, aby zapisovaly hesla zpět do svých místní Active Directory. Poskytuje pohodlný cloudový způsob, jak uživatelům resetovat místní hesla bez ohledu na to, kde jsou. Informace o zpětném zápisu hesla najdete v přehledu zpětného zápisu hesla.

Pokud chcete povolit zpětný zápis hesla, musí mít služba Azure AD Připojení udělená oprávnění k resetování hesla pro místní uživatelské účty AD. Při nastavování oprávnění může místní Správa istrator ad neúmyslně udělit azure AD Připojení s oprávněním k resetování hesla pro místní privilegované účty AD (včetně účtů Enterprise a Domain Správa istrator). Informace o privilegovaných uživatelských účtech AD najdete v tématu Chráněné účty a skupiny ve službě Active Directory.

Tato konfigurace se nedoporučuje, protože umožňuje škodlivému uživateli Azure AD Správa istrator resetovat heslo libovolného místního uživatelského účtu AD na známou hodnotu hesla pomocí zpětného zápisu hesla. To zase umožňuje škodlivému Správa istratoru Azure AD získat privilegovaný přístup k místní službě AD zákazníka.

Viz CVE-2017-8613 – Ohrožení zabezpečení z hlediska zvýšení oprávnění v Azure AD Připojení

Navrhované akce

Ověření, jestli je ovlivněná vaše organizace

Tento problém se týká jenom zákazníků, kteří povolili funkci zpětného zápisu hesla ve službě Azure AD Připojení. Pokud chcete zjistit, jestli je tato funkce povolená:

  1. Přihlaste se ke svému serveru Připojení Azure AD.
  2. Spusťte průvodce Připojení Azure AD (START → Azure AD Připojení).
  3. Na úvodní obrazovce klikněte na Konfigurovat.
  4. Na obrazovce Úkoly vyberte Zobrazit aktuální konfiguraci a klikněte na Další.
  5. V části Synchronizační Nastavení zkontrolujte, jestli je povolený zpětný zápis hesla.

 

 

Pokud je povolený zpětný zápis hesla, vyhodnoťte, jestli má váš server Připojení Azure AD udělené oprávnění k resetování hesla pro místní privilegované účty AD. Azure AD Připojení používá účet AD DS k synchronizaci změn s místní službou AD. Stejný účet SLUŽBY AD DS se používá k provádění operací resetování hesla s místní službou AD. Určení, který účet služby AD DS se používá:

  1. Přihlaste se ke svému serveru Připojení Azure AD.
  2. Spusťte Synchronizační službu Service Manager (spusťte → synchronizační službu).
  3. Na kartě Připojení orů vyberte místní konektor AD a klikněte na Vlastnosti.

 

  1. V dialogovém okně Vlastnosti vyberte Připojení na kartu Doménová struktura služby Active Directory a poznamenejte si vlastnost Uživatelské jméno. Toto je účet SLUŽBY AD DS používaný službou Azure AD Připojení k provádění synchronizace adresářů.

 

Aby služba Azure AD Připojení prováděla zpětný zápis hesla v místních účtech privilegovaných službou AD, musí být u těchto účtů udělena oprávnění k resetování hesla. K tomu obvykle dochází v případě, že má místní správce AD jednu z těchto možností:

  • Nastavení účtu služby AD DS jako člena místní skupiny s privilegovanými oprávněními SLUŽBY AD (například enterprise Správa istrators nebo domain Správa istrators group) NEBO
  • Vytvořili jste řídicí přístupová práva v kontejneru adminSDHolder, který uděluje účtu AD DS s oprávněním k resetování hesla. Informace o tom, jak kontejner adminSDHolder ovlivňuje přístup k místním účtům s oprávněními AD, najdete v tématu Chráněné účty a skupiny ve službě Active Directory.

Je potřeba zkontrolovat platná oprávnění přiřazená k tomuto účtu služby AD DS. Při zkoumání existujících seznamů ACL a přiřazení skupin může být obtížné a náchylné k chybám. Jednodušším přístupem je vybrat sadu stávajících místních privilegovaných účtů AD a pomocí funkce Efektivní oprávnění systému Windows určit, jestli má účet AD DS oprávnění k resetování hesla u těchto vybraných účtů. Informace o tom, jak používat funkci Efektivní oprávnění, najdete v tématu Ověření, jestli služba Azure AD Připojení má požadovaná oprávnění pro zpětný zápis hesla.

Poznámka:

K vyhodnocení, jestli synchronizujete několik místních doménových struktur AD pomocí služby Azure AD Připojení, můžete mít více než jeden účet SLUŽBY AD.

Postup nápravy

Upgradujte na nejnovější verzi (1.1.553.0) služby Azure AD Připojení, kterou si můžete stáhnout odtud. Doporučujeme to udělat i v případě, že vaše organizace není aktuálně ovlivněná. Informace o upgradu služby Azure AD Připojení najdete v tématu Připojení Azure AD: Informace o upgradu z předchozí verze na nejnovější verzi.

Nejnovější verze služby Azure AD Připojení tento problém řeší blokováním žádosti o zpětný zápis hesla pro místní privilegované účty AD, pokud žadatel o službu Azure AD Správa istrator není vlastníkem místního účtu AD. Konkrétně, když Azure AD Připojení obdrží požadavek zpětného zápisu hesla z Azure AD:

  • Zkontroluje, jestli cílový místní účet AD je privilegovaný účet ověřením atributu AD adminCount. Pokud je hodnota null nebo 0, Azure AD Připojení dospěl k závěru, že se nejedná o privilegovaný účet a povolí požadavek zpětného zápisu hesla.
  • Pokud hodnota není null nebo 0, Azure AD Připojení dospěl k závěru, že se jedná o privilegovaný účet. Dále ověří, jestli je žádající uživatel vlastníkem cílového místního účtu AD. Provede to tak, že zkontroluje vztah mezi cílovým místním účtem AD a účtem Azure AD žádajícího uživatele v jeho Metaverse. Pokud je žadatel skutečně vlastníkem, azure AD Připojení žádost o zpětný zápis hesla povolí. Jinak bude požadavek zamítnut.

Poznámka:

Atribut adminCount je spravován procesem SDProp. Ve výchozím nastavení se SDProp spouští každých 60 minut. Proto může trvat až hodinu, než se atribut adminCount nově vytvořeného privilegovaného uživatelského účtu AD aktualizuje z hodnoty NULL na 1. Dokud k tomu nedojde, může správce Azure AD resetovat heslo tohoto nově vytvořeného účtu. Informace o procesu SDProp najdete v tématu Chráněné účty a skupiny ve službě Active Directory.

Postup zmírnění

Pokud se vám nedaří okamžitě upgradovat na nejnovější verzi Azure AD Připojení, zvažte následující možnosti:

  • Pokud je účet služby AD DS členem jedné nebo více místních privilegovaných skupin AD, zvažte odebrání účtu služby AD DS ze skupin.
  • Pokud správce místní služby AD dříve vytvořil řídicí přístupová práva pro objekt adminSDHolder pro účet SLUŽBY AD DS, který povoluje operaci resetování hesla, zvažte jeho odebrání.
  • Nemusí být vždy možné odebrat stávající oprávnění udělená účtu služby AD DS (například účet služby AD DS spoléhá na členství ve skupině pro oprávnění požadovaná pro jiné funkce, jako je synchronizace hesel nebo hybridní zpětný zápis Exchange). Zvažte vytvoření odepření ACE u objektu adminSDHolder, který zakáže účet SLUŽBY AD DS s oprávněním k resetování hesla. Informace o tom, jak vytvořit DENY ACE pomocí nástroje Windows DSACLS, najdete v tématu Úprava kontejneru Správa SDHolder.
    DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"

Stránka vygenerovaná 2017-06-27 09:50-07:00.