Microsoft Security Advisory 4056318
Vägledning för att skydda AD DS-konto som används av Azure AD Anslut för katalogsynkronisering
Publicerad: 12 december 2017
Version: 1.1
Sammanfattning
Microsoft släpper den här säkerhetsrekommendationen för att tillhandahålla information om säkerhetsinställningar för AD DS-kontot (Active Directory-domän Services) som används av Azure AD Anslut för katalogsynkronisering. Den här rådgivningen ger också vägledning om vad lokala AD-administratörer kan göra för att säkerställa att kontot är korrekt skyddat.
Rådgivande information
Med Azure AD Anslut kan kunder synkronisera katalogdata mellan sin lokala AD och Azure AD. Azure AD-Anslut kräver att ett AD DS-användarkonto används för att få åtkomst till den lokala AD-tjänsten. Det här kontot kallas ibland för AD DS-anslutningskontot. När du konfigurerar Azure AD Anslut kan installationsadministratören antingen:
- Ange ett befintligt AD DS-konto, eller
- Låt Azure AD Anslut automatiskt skapa kontot. Kontot skapas direkt under den lokala AD-användarcontainern.
För att Azure AD-Anslut ska kunna uppfylla sin funktion måste kontot beviljas specifika behörigheter för privilegierade kataloger (till exempel skrivbehörigheter till katalogobjekt för Hybrid Exchange-tillbakaskrivning eller DS-Replication-Get-Changes och DS-Replication-Get-Changes-All för synkronisering av lösenordshash). Mer information om kontot finns i artikeln Azure AD Anslut: Konton och behörigheter.
Anta att det finns en skadlig lokal AD-administratör med begränsad åtkomst till kundens lokala AD men har behörighet att återställa lösenord till AD DS-kontot. Den skadliga administratören kan återställa lösenordet för AD DS-kontot till ett känt lösenordsvärde. Detta gör i sin tur att den skadliga administratören kan få obehörig och privilegierad åtkomst till kundens lokala AD.
Föreslagna åtgärder
Hantera din lokala AD enligt bästa praxis
Microsoft rekommenderar kunder att hantera sin lokala AD enligt metodtipsen som beskrivs i artikeln Skydda active directory-administrativa grupper och -konton. Om möjligt:
- Du bör undvika att använda gruppen Kontooperatörer eftersom medlemmar i gruppen som standard har behörighet att återställa lösenord till objekt under containern Användare.
- Flytta AD DS-kontot som används av Azure AD Anslut och andra privilegierade konton till en organisationsenhet (organisationsenhet) som endast är tillgänglig för betrodda eller högprivilegierade administratörer.
- När du delegerar behörigheten Återställ lösenord till specifika användare, begränsa deras åtkomst till endast användarobjekt som de ska hantera. Du vill till exempel låta supportadministratören hantera lösenordsåterställning för användare på ett avdelningskontor. Överväg att gruppera användarna på avdelningskontoret under en specifik organisationsenhet och ge supportadministratören behörighet att återställa lösenord till organisationsenheten i stället för användarcontainern.
Låsa åtkomsten till AD DS-kontot
Lås åtkomsten till AD DS-kontot genom att implementera följande behörighetsändringar i den lokala AD:en:
- Inaktivera arv av åtkomstkontrollistan för objektet.
- Ta bort alla standardbehörigheter för objekt förutom SELF.
- Implementera följande behörigheter:
| Typ | Name | Access | Gäller för |
|---|---|---|---|
| Tillåt | SYSTEM | Fullständig kontroll | Det här objektet |
| Tillåt | Enterprise Admins | Fullständig kontroll | Det här objektet |
| Tillåt | Domain Admins | Fullständig kontroll | Det här objektet |
| Tillåt | Administratörer | Fullständig kontroll | Det här objektet |
| Tillåt | Företagsdomänkontrollanter | Listinnehåll | Det här objektet |
| Tillåt | Företagsdomänkontrollanter | Läs alla egenskaper | Det här objektet |
| Tillåt | Företagsdomänkontrollanter | Läsbehörigheter | Det här objektet |
| Tillåt | Autentiserade användare | Listinnehåll | Det här objektet |
| Tillåt | Autentiserade användare | Läs alla egenskaper | Det här objektet |
| Tillåt | Autentiserade användare | Läsbehörigheter | Det här objektet |
Du kan använda PowerShell-skriptet som är tillgängligt i Förbereda Active Directory-skog och domäner för Azure AD Anslut Sync för att hjälpa dig att implementera behörighetsändringarna för AD DS-kontot.
Förbättring av Azure AD-Anslut
Gör följande för att ta reda på om den här sårbarheten har använts för att kompromettera din AAD Anslut konfiguration:
- Kontrollera det senaste datumet för lösenordsåterställning för tjänstkontot.
- Undersök händelseloggen för den här händelsen för lösenordsåterställning om du hittar en oväntad tidsstämpel.
Förbättring av Azure AD-Anslut
En förbättring har lagts till i Azure AD Anslut version 1.1.654.0 (och efter) för att säkerställa att de rekommenderade behörighetsändringarna som beskrivs i avsnittet Lås åtkomst till AD DS-kontot tillämpas automatiskt när Azure AD Anslut skapar AD DS-kontot:
- När du konfigurerar Azure AD Anslut kan installationsadministratören antingen ange ett befintligt AD DS-konto eller låta Azure AD Anslut automatiskt skapa kontot. Behörighetsändringarna tillämpas automatiskt på AD DS-kontot som skapas av Azure AD Anslut under installationen. De tillämpas inte på det befintliga AD DS-konto som tillhandahålls av installationsadministratören.
- För kunder som har uppgraderat från en äldre version av Azure AD Anslut till 1.1.654.0 (eller senare) tillämpas inte behörighetsändringarna retroaktivt på befintliga AD DS-konton som skapats före uppgraderingen. De tillämpas endast på nya AD DS-konton som skapats efter uppgraderingen. Detta inträffar när du lägger till nya AD-skogar som ska synkroniseras till Azure AD.
Övrig information
Microsoft Active Protections Program (MAPP)
För att förbättra säkerhetsskyddet för kunder tillhandahåller Microsoft sårbarhetsinformation till stora leverantörer av säkerhetsprogram före varje månatlig version av säkerhetsuppdateringen. Säkerhetsprogramleverantörer kan sedan använda den här sårbarhetsinformationen för att ge kunderna uppdaterat skydd via deras säkerhetsprogram eller enheter, till exempel antivirusprogram, nätverksbaserade intrångsidentifieringssystem eller värdbaserade intrångsskyddssystem. Om du vill ta reda på om aktiva skydd är tillgängliga från leverantörer av säkerhetsprogram kan du besöka de aktiva skyddswebbplatser som tillhandahålls av programpartners, listade i Mapp-partner (Microsoft Active Protections Program).
Feedback
- Du kan ge feedback genom att fylla i microsofts hjälp- och supportformulär, kundtjänst kontakta oss.
Tack
Microsoft tackar följande för att du samarbetar med oss för att skydda kunder:
- Roman Blachman och Yaron Zinar från Preempt
Support
- Kunder i USA och Kanada kan få teknisk support från säkerhetssupporten. Mer information finns i Microsofts hjälp och support.
- Internationella kunder kan få support från sina lokala Microsoft-dotterbolag. Mer information finns i Internationell support.
- Microsoft TechNet Security innehåller ytterligare information om säkerhet i Microsoft-produkter.
Friskrivning
Informationen som tillhandahålls i denna rekommendation tillhandahålls "som den är" utan garanti av något slag. Microsoft frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier för säljbarhet och lämplighet för ett visst syfte. Under inga omständigheter ska Microsoft Corporation eller dess leverantörer vara ansvariga för eventuella skador, inklusive direkta, indirekta, tillfälliga, följdskador, förlust av företagsvinster eller särskilda skador, även om Microsoft Corporation eller dess leverantörer har informerats om risken för sådana skador. Vissa stater tillåter inte undantag eller begränsning av ansvar för följdskador eller oförutsedda skador, så den föregående begränsningen kanske inte gäller.
Revideringar
- V1.0 (12 december 2017): Rådgivning publicerad.
- V1.1 (18 december 2017): Uppdaterad kontobehörighetsinformation.
Sidan genererades 2017-08-07 15:55-07:00.