Microsoft Güvenlik Danışmanlığı 4056318
Dizin eşitlemesi için Azure AD Bağlan tarafından kullanılan AD DS hesabının güvenliğini sağlama kılavuzu
Yayımlanma Tarihi: 12 Aralık 2017
Sürüm: 1.1
Yönetici Özeti
Microsoft, dizin eşitlemesi için Azure AD Bağlan tarafından kullanılan AD DS (Active Directory Etki Alanı Services) hesabının güvenlik ayarlarıyla ilgili bilgi sağlamak üzere bu güvenlik önerisini yayınlıyor. Bu öneri ayrıca, şirket içi AD yöneticilerinin hesabın düzgün bir şekilde güvenli hale getirildiğinden emin olmak için yapabilecekleri konusunda da rehberlik sağlar.
Danışmanlık Ayrıntıları
Azure AD Bağlan, müşterilerin şirket içi AD ile Azure AD arasında dizin verilerini eşitlemesine olanak tanır. Azure AD Bağlan, şirket içi AD'ye erişmek için bir AD DS kullanıcı hesabı kullanılmasını gerektirir. Bu hesap bazen AD DS bağlayıcı hesabı olarak adlandırılır. Azure AD Bağlan ayarlarken, yükleme yöneticisi şunları yapabilir:
- Mevcut bir AD DS hesabı sağlayın veya
- Azure AD Bağlan nin hesabı otomatik olarak oluşturmasına izin verin. Hesap doğrudan şirket içi AD Kullanıcı kapsayıcısı altında oluşturulur.
Azure AD Bağlan işlevini yerine getirmesi için hesaba belirli ayrıcalıklı dizin izinleri (Karma Exchange geri yazma için dizin nesnelerine yazma izinleri veya Parola Karması Eşitlemesi için DS-Replication-Get-Changes ve DS-Replication-Get-Changes-All gibi) verilmelidir. Hesap hakkında daha fazla bilgi edinmek için Azure AD Bağlan: Hesaplar ve İzinler makalesine bakın.
Müşterinin şirket içi AD'sine sınırlı erişime sahip kötü amaçlı bir şirket içi AD yöneticisi olduğunu ancak AD DS hesabında Parola Sıfırlama iznine sahip olduğunu varsayalım. Kötü amaçlı yönetici, AD DS hesabının parolasını bilinen bir parola değerine sıfırlayabilir. Bu da kötü amaçlı yöneticinin müşterinin şirket içi AD'sine yetkisiz ve ayrıcalıklı erişim kazanmasını sağlar.
Önerilen Eylemler
En iyi yöntemleri izleyerek şirket içi AD'nizi yönetme
Microsoft, Active Directory Yönetici Istrative Grupları ve Hesaplarını Güvenli Hale Getirme makalesinde açıklanan en iyi yöntemleri izleyerek müşterilerin şirket içi AD'lerini yönetmelerini önerir. Mümkün olduğunda:
- Varsayılan olarak grup üyelerinin Kullanıcı kapsayıcısı altındaki nesneler için Sıfırlama-Parola izinleri olduğundan, Hesap İşleçleri grubunun kullanımından kaçınılmalıdır.
- Azure AD Bağlan ve diğer ayrıcalıklı hesaplar tarafından kullanılan AD DS hesabını yalnızca güvenilen veya yüksek ayrıcalıklı yöneticiler tarafından erişilebilen bir OU'ya (Kuruluş Birimi) taşıyın.
- Belirli kullanıcılara Sıfırlama-Parola iznini verirken, erişimlerini yalnızca yönetmeleri gereken kullanıcı nesneleriyle sınırlayın. Örneğin, bir şubedeki kullanıcılar için parola sıfırlamayı yardım masası yöneticinizin yönetmesine izin vermek istiyorsunuz. Şubedeki kullanıcıları belirli bir OU altında gruplandırmayı düşünün ve yardım masası yöneticisine Kullanıcı kapsayıcısı yerine bu OU'ya Parola Sıfırlama izni verin.
AD DS hesabına erişimi kilitleme
Şirket içi AD'de aşağıdaki izin değişikliklerini uygulayarak AD DS hesabına erişimi kilitleyin:
- Nesnede Erişim Denetim Listesi devralmayı devre dışı bırakın.
- SELF dışında nesnedeki tüm varsayılan izinleri kaldırın.
- Şu izinleri uygulayın:
| Tür | Veri Akışı Adı | Access | Uygulandığı Öğe |
|---|---|---|---|
| İzin Ver | SİSTEM | Tam Denetim | Bu nesne |
| İzin Ver | Enterprise Admins | Tam Denetim | Bu nesne |
| İzin Ver | Domain Admins | Tam Denetim | Bu nesne |
| İzin Ver | Yöneticiler | Tam Denetim | Bu nesne |
| İzin Ver | Kurumsal Etki Alanı Denetleyicileri | Liste İçeriği | Bu nesne |
| İzin Ver | Kurumsal Etki Alanı Denetleyicileri | Tüm Özellikleri Oku | Bu nesne |
| İzin Ver | Kurumsal Etki Alanı Denetleyicileri | Okuma İzinleri | Bu nesne |
| İzin Ver | Kimliği Doğrulanmış Kullanıcılar | Liste İçeriği | Bu nesne |
| İzin Ver | Kimliği Doğrulanmış Kullanıcılar | Tüm Özellikleri Oku | Bu nesne |
| İzin Ver | Kimliği Doğrulanmış Kullanıcılar | Okuma İzinleri | Bu nesne |
AD DS hesabında izin değişikliklerini uygulamanıza yardımcı olması için Active Directory Ormanı ve Etki Alanlarını Azure AD Bağlan Eşitleme için Hazırlama sayfasında bulunan PowerShell betiğini kullanabilirsiniz.
Azure AD Bağlan geliştirme
Bu güvenlik açığının AAD Bağlan yapılandırmanızı tehlikeye atmak için kullanılıp kullanılmadığını bulmak için aşağıdakileri yapın:
- Hizmet hesabının son parola sıfırlama tarihini doğrulayın.
- Beklenmeyen bir zaman damgası bulursanız bu parola sıfırlama olayının olay günlüğünü araştırın.
Azure AD Bağlan geliştirme
Azure AD Bağlan sürüm 1.1.654.0'a (ve sonrasında) Azure AD Bağlan AD DS hesabını oluşturduğunda AD DS hesabına erişimi kilitleme bölümünde açıklanan önerilen izin değişikliklerinin otomatik olarak uygulandığından emin olmak için bir iyileştirme eklendi:
- Azure AD Bağlan ayarlarken, yükleme yöneticisi mevcut bir AD DS hesabı sağlayabilir veya Azure AD'nin hesabı otomatik olarak oluşturmasına izin Bağlan. İzin değişiklikleri, kurulum sırasında Azure AD Bağlan tarafından oluşturulan AD DS hesabına otomatik olarak uygulanır. Bunlar, yükleme yöneticisi tarafından sağlanan mevcut AD DS hesabına uygulanmaz.
- Azure AD Bağlan'nin eski bir sürümünden 1.1.654.0'a (veya sonrasında) yükseltmiş olan müşteriler için, izin değişiklikleri yükseltmeden önce oluşturulan mevcut AD DS hesaplarına geriye dönük olarak uygulanmaz. Bunlar yalnızca yükseltmeden sonra oluşturulan yeni AD DS hesaplarına uygulanır. Bu, Azure AD ile eşitlenecek yeni AD ormanları eklerken oluşur.
Diğer Bilgiler
Microsoft Active Protections Programı (MAPP)
Microsoft, müşterilerin güvenlik korumalarını geliştirmek için her aylık güvenlik güncelleştirmesi sürümünden önce önemli güvenlik yazılımı sağlayıcılarına güvenlik açığı bilgileri sağlar. Güvenlik yazılımı sağlayıcıları daha sonra bu güvenlik açığı bilgilerini kullanarak müşterilere güvenlik yazılımları veya virüsten koruma, ağ tabanlı yetkisiz erişim algılama sistemleri veya konak tabanlı yetkisiz erişim önleme sistemleri gibi cihazları aracılığıyla güncelleştirilmiş korumalar sağlayabilir. Güvenlik yazılımı sağlayıcılarından etkin koruma sağlanıp sağlanmadığını belirlemek için lütfen Microsoft Active Protections Program (MAPP) İş Ortakları'nda listelenen program iş ortakları tarafından sağlanan etkin koruma web sitelerini ziyaret edin.
Geri Bildirim
- Microsoft Yardım ve Destek formunu tamamlayarak geri bildirim sağlayabilirsiniz. Müşteri Hizmetleri Bize Ulaşın.
İlgili kaynaklar
- Preempt'in Roman Blachman ve Yaron Zinar'ı
Destek
- Birleşik Devletler ve Kanada'daki müşteriler Güvenlik Desteği'nden teknik destek alabilir. Daha fazla bilgi için bkz . Microsoft Yardım ve Destek.
- Uluslararası müşteriler, yerel Microsoft yan kuruluşlarından destek alabilir. Daha fazla bilgi için bkz . Uluslararası Destek.
- Microsoft TechNet Security , Microsoft ürünlerindeki güvenlik hakkında ek bilgiler sağlar.
Bildirim
Bu danışmanlıkta sağlanan bilgiler herhangi bir garanti olmadan "olduğu gibi" sağlanır. Microsoft, satılabilirlik ve belirli bir amaca uygunluk garantileri dahil olmak üzere açık veya zımni tüm garantileri reddeder. Microsoft Corporation veya tedarikçilerine bu tür zararlar olabileceği bildirilmiş olsa bile, doğrudan, dolaylı, arızi, neticede iş kârı kaybı veya özel zararlar dahil olmak üzere hiçbir durumda Microsoft Corporation veya tedarikçileri herhangi bir zarardan sorumlu tutulamaz. Bazı eyaletler, ortaya çıkabilecek veya arızi zararlar için sorumluluğun hariç tutulmasına veya sınırlandırılmasına izin vermez, bu nedenle söz konusu sınırlama geçerli olmayabilir.
Düzeltmeler
- V1.0 (12 Aralık 2017): Danışmanlık yayımlandı.
- V1.1 (18 Aralık 2017): Hesap izinleri bilgileri güncelleştirildi.
Sayfa oluşturuldu 2017-08-07 15:55-07:00.