4056318 de aviso de seguridad de Microsoft
Guía para proteger la cuenta de AD DS que usa Azure AD Conectar para la sincronización de directorios
Publicado: 12 de diciembre de 2017
Versión: 1.1
Resumen ejecutivo
Microsoft publica este aviso de seguridad para proporcionar información sobre la configuración de seguridad de la cuenta de AD DS (Servicios de dominio de Active Directory) que usa Azure AD Conectar para la sincronización de directorios. Este aviso también proporciona instrucciones sobre lo que los administradores de AD locales pueden hacer para asegurarse de que la cuenta está protegida correctamente.
Detalles de asesoramiento
Azure AD Conectar permite a los clientes sincronizar los datos de directorio entre su AD local y Azure AD. Azure AD Conectar requiere el uso de una cuenta de usuario de AD DS para acceder a AD local. Esta cuenta se conoce a veces como cuenta del conector de AD DS. Al configurar azure AD Conectar, el administrador de instalación puede:
- Proporcionar una cuenta de AD DS existente o
- Deje que Azure AD Conectar crear automáticamente la cuenta. La cuenta se creará directamente en el contenedor de usuarios de AD local.
Para que Azure AD Conectar cumplir su función, a la cuenta se le deben conceder permisos de directorio con privilegios específicos (como permisos de escritura en objetos de directorio para la reescritura híbrida de Exchange o DS-Replication-Get-Changes y DS-Replication-Get-Changes-All para la sincronización de hash de contraseña). Para más información sobre la cuenta, consulte el artículo Azure AD Conectar: Cuentas y permisos.
Supongamos que hay un administrador de AD local malintencionado con acceso limitado a AD local del cliente, pero tiene permiso restablecer contraseña a la cuenta de AD DS. El administrador malintencionado puede restablecer la contraseña de la cuenta de AD DS a un valor de contraseña conocido. Esto, a su vez, permite al administrador malintencionado obtener acceso no autorizado y con privilegios a AD local del cliente.
Acciones sugeridas
Administración de AD local siguiendo los procedimientos recomendados
Microsoft recomienda a los clientes que administren su AD local siguiendo los procedimientos recomendados descritos en el artículo Protección de grupos y cuentas de Active Directory Administración istrative Groups and Accounts. Siempre que sea posible:
- Se debe evitar el uso del grupo Operadores de cuenta, ya que los miembros del grupo tienen permisos reset-Password de forma predeterminada en los objetos del contenedor Usuario.
- Mueva la cuenta de AD DS usada por azure AD Conectar y otras cuentas con privilegios a una unidad organizativa (unidad organizativa) a la que solo puedan acceder los administradores de confianza o con privilegios elevados.
- Al delegar el permiso Reset-Password a usuarios específicos, establezca el ámbito de su acceso solo a los objetos de usuario para los que se supone que administran. Por ejemplo, quiere permitir que el administrador del departamento de soporte técnico administre el restablecimiento de contraseña para los usuarios de una sucursal. Considere la posibilidad de agrupar los usuarios de la sucursal en una unidad organizativa específica y conceder al administrador del departamento de soporte técnico permiso restablecer contraseña a esa unidad organizativa en lugar del contenedor de usuarios.
Bloqueo del acceso a la cuenta de AD DS
Bloquee el acceso a la cuenta de AD DS mediante la implementación de los siguientes cambios de permisos en las instancias de AD locales:
- Deshabilite la herencia de la lista de control de acceso en el objeto .
- Quite todos los permisos predeterminados en el objeto excepto self.
- Implemente estos permisos:
| Tipo | Nombre | Acceso | Se aplica a |
|---|---|---|---|
| Allow | SYSTEM | Control total | Este objeto |
| Allow | Administradores de empresas | Control total | Este objeto |
| Allow | Administradores de dominio | Control total | Este objeto |
| Allow | Administradores | Control total | Este objeto |
| Allow | Enterprise Domain Controllers | Contenido de la lista | Este objeto |
| Allow | Enterprise Domain Controllers | Lectura de todas las propiedades | Este objeto |
| Allow | Enterprise Domain Controllers | Permisos de lectura | Este objeto |
| Allow | Usuarios autenticados | Contenido de la lista | Este objeto |
| Allow | Usuarios autenticados | Lectura de todas las propiedades | Este objeto |
| Allow | Usuarios autenticados | Permisos de lectura | Este objeto |
Puede usar el script de PowerShell disponible en Preparación del bosque y dominios de Active Directory para Azure AD Conectar Sync para ayudarle a implementar los cambios de permisos en la cuenta de AD DS.
Mejora de la Conectar de Azure AD
Para averiguar si esta vulnerabilidad se ha usado para poner en peligro la configuración de AAD Conectar, haga lo siguiente:
- Compruebe la última fecha de restablecimiento de contraseña de la cuenta de servicio.
- Investigue el registro de eventos para ese evento de restablecimiento de contraseña si encuentra una marca de tiempo inesperada.
Mejora de la Conectar de Azure AD
Se ha agregado una mejora a Azure AD Conectar versión 1.1.654.0 (y posterior) para asegurarse de que los cambios de permisos recomendados descritos en la sección Bloqueo del acceso a la cuenta de AD DS se aplican automáticamente cuando Azure AD Conectar crea la cuenta de AD DS:
- Al instalar Azure AD Connect, el administrador de instalación puede proporcionar una cuenta de AD DS existente o dejar que Azure AD Connect cree la cuenta automáticamente. Los cambios de permisos se aplican automáticamente a la cuenta de AD DS que crea Azure AD Connect durante la instalación. No se aplican a la cuenta de AD DS existente proporcionada por el administrador de instalación.
- Para los clientes que han actualizado desde una versión anterior de Azure AD Connect a 1.1.654.0 (o posterior), los cambios de permisos no se aplicarán con carácter retroactivo a las cuentas de AD DS existentes creadas antes de la actualización. Solo se aplicarán a las cuentas de AD DS nuevas creadas después de la actualización. Esto se produce cuando se agregan nuevos bosques de AD para sincronizarlos con Azure AD.
Otra información
Programa microsoft Active Protections (MAPP)
Para mejorar las protecciones de seguridad para los clientes, Microsoft proporciona información sobre vulnerabilidades a los principales proveedores de software de seguridad con antelación de cada versión de actualización de seguridad mensual. Después, los proveedores de software de seguridad pueden usar esta información de vulnerabilidad para proporcionar protecciones actualizadas a los clientes a través de su software de seguridad o dispositivos, como antivirus, sistemas de detección de intrusiones basados en red o sistemas de prevención de intrusiones basados en host. Para determinar si las protecciones activas están disponibles en proveedores de software de seguridad, visite los sitios web de protección activa proporcionados por los asociados del programa, enumerados en Asociados del Programa de Protección Activa de Microsoft (MAPP).
Comentarios
- Puede proporcionar comentarios completando el formulario de Ayuda y soporte técnico de Microsoft, Servicio al cliente Póngase en contacto con nosotros.
Agradecimientos
Microsoft agradece lo siguiente por trabajar con nosotros para ayudar a proteger a los clientes:
- Roman Blachman y Yaron Zinar de Preempt
Soporte técnico
- Los clientes de la Estados Unidos y Canadá pueden recibir soporte técnico del soporte técnico de soporte técnico. Para obtener más información, consulte Ayuda y soporte técnico de Microsoft.
- Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. Para obtener más información, consulte Asistencia internacional.
- Microsoft TechNet Security proporciona información adicional sobre la seguridad en los productos de Microsoft.
Declinación de responsabilidades
La información proporcionada en este aviso se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (12 de diciembre de 2017): Aviso publicado.
- V1.1 (18 de diciembre de 2017): información actualizada de permisos de cuenta.
Página generada 2017-08-07 15:55-07:00.