Microsoft Security Advisory 4056318
Útmutató az Azure AD Csatlakozás által a címtár-szinkronizáláshoz használt AD DS-fiók biztonságossá tételéhez
Közzétéve: 2017. december 12.
Verzió: 1.1
Vezetői összefoglaló
A Microsoft kiadja ezt a biztonsági tanácsadót, amely tájékoztatást nyújt az Azure AD Csatlakozás által a címtár-szinkronizáláshoz használt AD DS-fiók (Active Directory tartományi szolgáltatások) biztonsági beállításairól. Ez a tanácsadás azt is ismerteti, hogy a helyszíni AD-rendszergazdák mit tehetnek a fiók megfelelő biztonságának biztosítása érdekében.
Tanácsadás részletei
Az Azure AD Csatlakozás lehetővé teszi, hogy az ügyfelek szinkronizálják a címtáradatokat a helyszíni AD és az Azure AD között. Az Azure AD Csatlakozás egy AD DS-felhasználói fiók használatát igényli a helyszíni AD eléréséhez. Ezt a fiókot néha AD DS-összekötő fióknak is nevezik. Az Azure AD Csatlakozás beállításakor a telepítő rendszergazda a következőkre képes:
- Adjon meg egy meglévő AD DS-fiókot, vagy
- Hagyja, hogy az Azure AD Csatlakozás automatikusan létrehozza a fiókot. A fiók közvetlenül a helyszíni AD felhasználói tároló alatt jön létre.
Ahhoz, hogy az Azure AD Csatlakozás teljesíteni tudja a funkcióját, a fióknak speciális jogosultsági jogosultsággal kell rendelkeznie (például írási engedélyeket kell adni a hibrid Exchange-visszaíró címtárobjektumaihoz, vagy a DS-Replication-Get-Changes és a DS-Replication-Get-Changes-All jelszókivonat-szinkronizáláshoz). A fiókról az Azure AD Csatlakozás: Fiókok és engedélyek című cikkben olvashat bővebben.
Tegyük fel, hogy egy rosszindulatú helyszíni AD-rendszergazda korlátozott hozzáféréssel rendelkezik a helyszíni AD-hez, de az AD DS-fiókhoz jelszó-visszaállítási engedéllyel rendelkezik. A rosszindulatú rendszergazda visszaállíthatja az AD DS-fiók jelszavát egy ismert jelszóértékre. Ez lehetővé teszi a rosszindulatú rendszergazda számára, hogy jogosulatlan, kiemelt hozzáférést kapjon az ügyfél helyszíni AD-jéhez.
Javasolt műveletek
A helyszíni AD kezelése az ajánlott eljárások szerint
A Microsoft azt javasolja az ügyfeleknek, hogy az Active Directory Rendszergazda istrative csoportok és fiókok biztonságossá tételéről szóló cikkben ismertetett ajánlott eljárásokat követve kezeljék a helyszíni AD-t. Ahol lehetséges:
- Kerülni kell a Fiókkezelők csoport használatát, mivel a csoport tagjai alapértelmezés szerint alaphelyzetbe állítási jelszó engedéllyel rendelkeznek a Felhasználói tárolóban lévő objektumokhoz.
- Helyezze át az Azure AD Csatlakozás és más kiemelt fiókok által használt AD DS-fiókot egy szervezeti egységbe (szervezeti egységbe), amelyet csak megbízható vagy kiemelt jogosultságú rendszergazdák érhetnek el.
- Ha az új jelszó kérésére vonatkozó engedélyt adott felhasználókra delegálja, csak azokra a felhasználói objektumokra terjedjen ki, amelyeket kezelnie kell. Lehetővé szeretné tenni például, hogy a segélyszolgálat rendszergazdája kezelje a fiókirodában lévő felhasználók jelszó-alaphelyzetbe állítását. Fontolja meg, hogy a fiókirodában lévő felhasználókat egy adott szervezeti egység alá csoportosítja, és a felhasználói tároló helyett új jelszó kérése engedéllyel adja meg a segélyszolgálat rendszergazdájának az adott szervezeti egységhez.
Az AD DS-fiókhoz való hozzáférés zárolása
Az AD DS-fiókhoz való hozzáférés zárolása a következő engedélymódosítások végrehajtásával a helyszíni AD-ben:
- Tiltsa le a hozzáférés-vezérlési lista öröklését az objektumon.
- A Standard kiadás LF kivételével távolítsa el az objektum összes alapértelmezett engedélyét.
- Hajtsa végre az alábbi engedélyeket:
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezés | RENDSZER | Teljes hozzáférés | Ez az objektum |
| Engedélyezés | Vállalati rendszergazdák | Teljes hozzáférés | Ez az objektum |
| Engedélyezés | Tartományi rendszergazdák | Teljes hozzáférés | Ez az objektum |
| Engedélyezés | Rendszergazdák | Teljes hozzáférés | Ez az objektum |
| Engedélyezés | Vállalati tartományvezérlők | Lista tartalma | Ez az objektum |
| Engedélyezés | Vállalati tartományvezérlők | Az összes tulajdonság beolvasása | Ez az objektum |
| Engedélyezés | Vállalati tartományvezérlők | Olvasási engedélyek | Ez az objektum |
| Engedélyezés | Hitelesített felhasználók | Lista tartalma | Ez az objektum |
| Engedélyezés | Hitelesített felhasználók | Az összes tulajdonság beolvasása | Ez az objektum |
| Engedélyezés | Hitelesített felhasználók | Olvasási engedélyek | Ez az objektum |
Az Active Directory Erdő és tartományok előkészítése az Azure AD-hez Csatlakozás Sync szolgáltatásban elérhető PowerShell-szkripttel implementálhatja az AD DS-fiók engedélymódosításait.
Az Azure AD Csatlakozás fejlesztése
Ha meg szeretné tudni, hogy a biztonsági rést kihasználták-e az AAD Csatlakozás konfigurációjának veszélyeztetéséhez, tegye a következőket:
- Ellenőrizze a szolgáltatásfiók utolsó jelszó-visszaállítási dátumát.
- Ha váratlan időbélyeget talál, vizsgálja meg a jelszó-visszaállítási esemény eseménynaplóját.
Az Azure AD Csatlakozás fejlesztése
Az Azure AD Csatlakozás 1.1.654.0-s (és újabb) verziójának továbbfejlesztése annak biztosítása érdekében, hogy az AD DS-fiókhoz való hozzáférés zárolása című szakaszban leírt ajánlott engedélymódosítások automatikusan érvényesüljenek, amikor az Azure AD Csatlakozás létrehozza az AD DS-fiókot:
- Az Azure AD Csatlakozás beállításakor a telepítő rendszergazda megadhat egy meglévő AD DS-fiókot, vagy engedélyezheti, hogy az Azure AD Csatlakozás automatikusan létrehozza a fiókot. A rendszer automatikusan alkalmazza az engedélymódosításokat az Azure AD Csatlakozás által a telepítés során létrehozott AD DS-fiókra. A rendszer nem alkalmazza őket a telepítési rendszergazda által biztosított meglévő AD DS-fiókra.
- Azon ügyfelek esetében, akik az Azure AD régebbi verziójáról frissítettek Csatlakozás 1.1.654.0-ra (vagy azt követően), az engedélymódosítások nem lesznek visszamenőlegesen alkalmazva a frissítés előtt létrehozott meglévő AD DS-fiókokra. Ezek csak a frissítés után létrehozott új AD DS-fiókokra lesznek alkalmazva. Ez akkor fordul elő, ha új AD-erdőket ad hozzá, amelyeket szinkronizálni szeretne az Azure AD-be.
Egyéb információk
Microsoft Active Protections Program (MAPP)
Az ügyfelek biztonságának javítása érdekében a Microsoft minden havi biztonsági frissítési kiadás előtt sebezhetőségi információkat nyújt a főbb biztonsági szoftverszolgáltatóknak. A biztonsági szoftverszolgáltatók ezt a biztonsági résinformációt felhasználhatják arra, hogy biztonsági szoftvereiken vagy eszközeiken keresztül frissített védelmet nyújtsanak az ügyfeleknek, például víruskereső, hálózati behatolásészlelő rendszerek vagy gazdagépalapú behatolás-megelőzési rendszerek segítségével. Annak megállapításához, hogy az aktív védelem elérhető-e a biztonsági szoftverszolgáltatóktól, keresse fel a programpartnerek által biztosított aktív védelmi webhelyeket a Microsoft Active Protections Program (MAPP) partnerei között.
Visszajelzés
- Visszajelzést a Microsoft súgó- és támogatási űrlapjának kitöltésével küldhet, amelyről az ügyfélszolgálat kapcsolatba lép velünk.
Köszönetnyilvánítás
A Microsoft köszönetét fejezi ki az alábbiakért, hogy együttműködve segít az ügyfelek védelmében:
Támogatás
- A Egyesült Államok és Kanada ügyfelei technikai támogatást kaphatnak a biztonsági támogatástól. További információt a Microsoft súgójában és támogatásában talál.
- A nemzetközi ügyfelek támogatást kaphatnak helyi Microsoft-leányvállalataiktól. További információ: Nemzetközi támogatás.
- A Microsoft TechNet Security további információkat nyújt a Microsoft-termékek biztonságáról.
Felelősséget kizáró nyilatkozat
A jelen tanácsadásban megadott információk bármilyen garanciális szavatosság nélkül". A Microsoft kizár minden kifejezett vagy vélelmezett garanciát, beleértve a kereskedelmi forgalomra és az adott célra való alkalmasságra vonatkozó szavatosságot. A Microsoft Corporation vagy beszállítói semmilyen esetben sem vonhatók felelősségre semmilyen kárért, beleértve a közvetlen, közvetett, járulékos, következményi, üzleti nyereség elvesztését vagy különleges károkat, még akkor sem, ha a Microsoft Corporationt vagy szállítóit értesítették az ilyen károk lehetőségéről. Egyes államok nem teszik lehetővé a következményi vagy járulékos károkért való felelősség kizárását vagy korlátozását, így a fenti korlátozás nem alkalmazható.
Változatok
- 1.0-s verzió (2017. december 12.): Megjelent a tanácsadás.
- V1.1 (2017. december 18.): Frissített fiókengedélyek adatai.
Lap generálva: 2017.08.07. 15:55-07:00.