Poradce microsoftu pro zabezpečení 4056318
Pokyny k zabezpečení účtu AD DS používaného službou Azure AD Připojení pro synchronizaci adresářů
Publikováno: 12. prosince 2017
Verze: 1.1
Shrnutí
Společnost Microsoft vydává tento poradce pro zabezpečení, který poskytuje informace týkající se nastavení zabezpečení pro účet služby AD DS (Doména služby Active Directory Services), který používá Azure AD Připojení pro synchronizaci adresářů. Tento poradce také poskytuje pokyny k tomu, co můžou místní správci AD dělat, aby se zajistilo, že je účet správně zabezpečený.
Podrobnosti o poradci
Azure AD Připojení umožňuje zákazníkům synchronizovat data adresáře mezi místní službou AD a Azure AD. Azure AD Připojení vyžaduje použití uživatelského účtu služby AD DS pro přístup k místní službě AD. Tento účet se někdy označuje jako účet konektoru služby AD DS. Při nastavování Připojení Azure AD může správce instalace:
- Zadejte existující účet služby AD DS nebo
- Nechte Azure AD Připojení účet automaticky vytvořit. Účet se vytvoří přímo v místním kontejneru uživatele AD.
Aby služba Azure AD Připojení splnila svou funkci, musí mít účet udělená specifická oprávnění privilegovaného adresáře (například oprávnění k zápisu do objektů adresáře pro zpětný zápis hybridního exchange nebo DS-Replication-Get-Changes-All pro synchronizaci hodnot hash hesel). Další informace o účtu najdete v článku Azure AD Připojení: Účty a oprávnění.
Předpokládejme, že existuje místní správce služby AD se zlými úmysly s omezeným přístupem k místní službě AD zákazníka, ale má oprávnění k resetování hesla k účtu SLUŽBY AD DS. Správce se zlými úmysly může resetovat heslo účtu služby AD DS na známou hodnotu hesla. To zase umožňuje správci se zlými úmysly získat neoprávněný a privilegovaný přístup k místní službě AD zákazníka.
Navrhované akce
Správa místní služby AD s ohledem na osvědčené postupy
Microsoft doporučuje zákazníkům spravovat místní službu AD podle osvědčených postupů popsaných v článku Zabezpečení služby Active Directory Správa istrativních skupin a účtů. Pokud je to možné:
- Použití skupiny Account Operators by se mělo vyhnout, protože členové skupiny mají ve výchozím nastavení oprávnění k resetování hesla k objektům v kontejneru Uživatel.
- Přesuňte účet SLUŽBY AD DS používaný službou Azure AD Připojení a další privilegované účty do organizační jednotky, která je přístupná pouze důvěryhodným nebo vysoce privilegovanými správci.
- Při delegování oprávnění k resetování hesla konkrétním uživatelům vymezete jejich přístup pouze na objekty uživatelů, pro které mají spravovat. Například chcete, aby správce helpdesku spravil resetování hesel pro uživatele ve firemní pobočce. Zvažte seskupení uživatelů v pobočce v rámci konkrétní organizační jednotky a udělte správci helpdesku oprávnění k resetování hesla této organizační jednotky místo kontejneru User.
Uzamčení přístupu k účtu SLUŽBY AD DS
Zamkněte přístup k účtu SLUŽBY AD DS implementací následujících změn oprávnění v místní službě AD:
- Zakažte dědičnost seznamu řízení přístupu u objektu.
- Odeberte všechna výchozí oprávnění pro objekt s výjimkou SELF.
- Implementujte tato oprávnění:
| Typ | Název | Access | Platí pro |
|---|---|---|---|
| Povolit | SYSTÉM | Úplné řízení | Tento objekt |
| Povolit | Enterprise Admins | Úplné řízení | Tento objekt |
| Povolit | Domain Admins | Úplné řízení | Tento objekt |
| Povolit | Správci | Úplné řízení | Tento objekt |
| Povolit | Podnikové řadiče domény | Obsah seznamu | Tento objekt |
| Povolit | Podnikové řadiče domény | Číst všechny vlastnosti | Tento objekt |
| Povolit | Podnikové řadiče domény | Oprávnění ke čtení | Tento objekt |
| Povolit | Ověření uživatelé | Obsah seznamu | Tento objekt |
| Povolit | Ověření uživatelé | Číst všechny vlastnosti | Tento objekt |
| Povolit | Ověření uživatelé | Oprávnění ke čtení | Tento objekt |
Pomocí skriptu PowerShellu, který je k dispozici v části Příprava doménové struktury a domén služby Active Directory pro Azure AD Připojení Sync, vám pomůže implementovat změny oprávnění v účtu AD DS.
Vylepšení služby Azure AD Připojení
Pokud chcete zjistit, jestli se tato chyba zabezpečení použila k ohrožení vaší konfigurace AAD Připojení, postupujte takto:
- Ověřte datum posledního resetování hesla účtu služby.
- Pokud zjistíte neočekávané časové razítko, prozkoumejte protokol událostí pro tuto událost resetování hesla.
Vylepšení služby Azure AD Připojení
Do služby Azure AD Připojení verze 1.1.654.0 (a po) jsme přidali vylepšení, aby se zajistilo, že doporučené změny oprávnění popsané v části Uzamčení přístupu k účtu AD DS se automaticky použijí, když Azure AD Připojení vytvoří účet AD DS:
- Při nastavování Připojení Azure AD může správce instalace buď poskytnout existující účet AD DS, nebo nechat Azure AD Připojení účet automaticky vytvořit. Změny oprávnění se automaticky použijí na účet AD DS vytvořený službou Azure AD Připojení během instalace. Nepoužijí se u existujícího účtu služby AD DS poskytnutého správcem instalace.
- Pro zákazníky, kteří upgradovali ze starší verze azure AD Připojení na verzi 1.1.654.0 (nebo po), se změny oprávnění před upgradem nepoužijí zpětně u stávajících účtů AD DS vytvořených před upgradem. Použijí se pouze na nové účty služby AD DS vytvořené po upgradu. K tomu dochází při přidávání nových doménových struktur AD, které se mají synchronizovat do Azure AD.
Další informace
Program Microsoft Active Protections (MAPP)
Microsoft poskytuje informace o ohrožení zabezpečení pro zákazníky, aby před každým měsíčním vydáním aktualizace zabezpečení poskytovala informace o ohrožení zabezpečení významným poskytovatelům softwaru zabezpečení. Poskytovatelé softwaru zabezpečení pak můžou tyto informace o ohrožení zabezpečení použít k poskytování aktualizovaných ochrany zákazníkům prostřednictvím bezpečnostního softwaru nebo zařízení, jako jsou antivirová ochrana, systémy detekce neoprávněných vniknutí na základě sítě nebo systémy ochrany před neoprávněným vniknutím na základě hostitele. Pokud chcete zjistit, jestli jsou aktivní ochrany dostupné od poskytovatelů softwaru zabezpečení, navštivte weby aktivní ochrany poskytované partnery programu, které jsou uvedeny v programu Microsoft Active Protections Program (MAPP) Partneři.
Váš názor
- Zpětnou vazbu můžete poskytnout vyplněním formuláře nápovědy a podpory Microsoftu, kontaktujte nás oddělení služeb zákazníkům.
Poděkování
Microsoft děkujeme , že s námi spolupracujete na ochraně zákazníků:
- Roman Blachman a Yaron Zinar z Preempt
Technická podpora
- Zákazníci v USA a Kanadě můžou získat technickou podporu od podpory zabezpečení. Další informace naleznete v nápovědě a podpoře společnosti Microsoft.
- Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace naleznete v tématu Mezinárodní podpora.
- Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Microsoftu.
Právní doložka
Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize
- V1.0 (12. prosince 2017): Poradce publikováno.
- V1.1 (18. prosince 2017): Aktualizované informace o oprávněních účtu
Stránka vygenerovaná 2017-08-07 15:55-07:00.