Microsoft Security Advisory 4056318
保護 Azure AD 連線 用於目錄同步處理的 AD DS 帳戶的指引
發佈時間: 2017 年 12 月 12 日
版本: 1.1
執行摘要
Microsoft 正在發行此安全性諮詢,以提供 Azure AD 連線 用於目錄同步處理之 AD DS (Active Directory 網域服務) 帳戶的安全性設定相關信息。 此諮詢也會提供內部部署AD系統管理員可以執行哪些動作的指引,以確保帳戶受到適當的保護。
諮詢詳細數據
Azure AD 連線 可讓客戶在內部部署 AD 與 Azure AD 之間同步目錄數據。 Azure AD 連線 需要使用 AD DS 使用者帳戶來存取內部部署 AD。 此帳戶有時稱為 AD DS 連接器帳戶。 設定 Azure AD 連線 時,安裝系統管理員可以:
- 提供現有的 AD DS 帳戶,或
- 讓 Azure AD 連線 自動建立帳戶。 帳戶將直接建立在內部部署 AD 使用者容器之下。
若要讓 Azure AD 連線 履行其功能,帳戶必須獲授與特定的特殊許可權目錄許可權(例如混合式 Exchange 回寫的目錄物件寫入許可權,或 DS-Replication-Get-Changes 和 DS-Replication-Get-Changes-All for Password Hash Synchronization)。 若要深入了解帳戶,請參閱 Azure AD 連線:帳戶和許可權一文。
假設有惡意的內部部署 AD 系統管理員具有對客戶內部部署 AD 的有限存取權,但具有 AD DS 帳戶的 Reset-Password 許可權。 惡意系統管理員可以將AD DS帳戶的密碼重設為已知的密碼值。 這反過來又可讓惡意系統管理員取得客戶內部部署 AD 的未經授權特殊許可權存取權。
建議的動作
遵循最佳做法管理內部部署AD
Microsoft 建議客戶遵循保護 Active Directory 管理員 istrative 群組和帳戶一文中所述的最佳做法來管理其內部部署 AD。 可能的話:
- 應避免使用帳戶操作員群組,因為根據預設,群組的成員具有使用者容器下物件的 Reset-Password 許可權。
- 將 Azure AD 連線 和其他特殊許可權帳戶所使用的 AD DS 帳戶移至只有受信任或高度許可權系統管理員才能存取的 OU(組織單位)。
- 將 Reset-Password 許可權委派給特定使用者時,請將其存取範圍限定為他們應該管理的用戶物件。 例如,您想要讓技術服務人員系統管理員管理分公司用戶的密碼重設。 請考慮將分公司中的使用者分組在特定 OU 之下,並將 Reset-Password 許可權授與技術服務人員系統管理員給該 OU,而不是使用者容器。
鎖定 AD DS 帳戶的存取權
在內部部署 AD 中實作下列許可權變更,以鎖定 AD DS 帳戶的存取權:
- 停用物件上的 存取控制 清單繼承。
- 拿掉物件上除SELF以外的所有預設許可權。
- 實作下列權限:
| 類型 | 名稱 | 存取 | 套用至 |
|---|---|---|---|
| 允許 | 系統 | 完全控制 | 此物件 |
| 允許 | Enterprise Admins | 完全控制 | 此物件 |
| 允許 | Domain Admins | 完全控制 | 此物件 |
| 允許 | 系統管理員 | 完全控制 | 此物件 |
| 允許 | Enterprise Domain Controllers | 清單內容 | 此物件 |
| 允許 | Enterprise Domain Controllers | 讀取所有屬性 | 此物件 |
| 允許 | Enterprise Domain Controllers | 讀取權限 | 此物件 |
| 允許 | 已驗證的使用者 | 清單內容 | 此物件 |
| 允許 | 已驗證的使用者 | 讀取所有屬性 | 此物件 |
| 允許 | 已驗證的使用者 | 讀取權限 | 此物件 |
您可以使用 Azure AD 連線 Sync 準備 Active Directory 樹系和網域中提供的 PowerShell 腳本,協助您在 AD DS 帳戶上實作許可權變更。
Azure AD 連線 的改善
若要找出是否已使用此弱點來危害您的 AAD 連線 設定,請執行下列動作:
- 確認服務帳戶的最後一個密碼重設日期。
- 如果您發現非預期的時間戳,請調查該密碼重設事件的事件記錄檔。
Azure AD 連線 的改善
已將改善新增至 Azure AD 連線 1.1.654.0 版(及之後),以確保 Azure AD 連線 建立 AD DS 帳戶時,會自動套用鎖定 AD DS 帳戶存取一節中所述的建議許可權變更:
- 設定 Azure AD 連線 時,安裝系統管理員可以提供現有的 AD DS 帳戶,或讓 Azure AD 連線 自動建立帳戶。 許可權變更會自動套用至設定期間由 Azure AD 連線 建立的 AD DS 帳戶。 它們不會套用至安裝系統管理員所提供的現有 AD DS 帳戶。
- 對於已從舊版 Azure AD 連線 升級至 1.1.654.0(或更新版本)的客戶,許可權變更將不會追溯到升級前建立的現有 AD DS 帳戶。 它們只會套用至升級之後建立的新 AD DS 帳戶。 當您新增要同步至 Azure AD 的新 AD 樹系時,就會發生這種情況。
其他資訊
Microsoft Active Protections 計劃 (MAPP)
為了改善客戶的安全性保護,Microsoft 會在每個每月安全性更新版本之前,為主要安全性軟體提供者提供弱點資訊。 然後,安全性軟體提供者可以使用此弱點資訊,透過其安全性軟體或裝置,例如防病毒軟體、網路型入侵檢測系統或主機型入侵預防系統,為客戶提供更新的保護。 若要判斷是否可從安全性軟體提供者取得主動保護,請流覽由計劃合作夥伴所提供的使用中保護網站,列在 Microsoft Active Protections 方案 (MAPP) 合作夥伴中。
Feedback
- 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡,以提供意見反應。
通知
Microsoft 感謝您 與我們合作,協助保護客戶:
支援
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需詳細資訊,請參閱國際支援。
- Microsoft TechNet 安全性 提供 Microsoft 產品中安全性的其他資訊。
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2017 年 12 月 12 日):已發佈諮詢。
- V1.1 (2017 年 12 月 18 日):已更新帳戶許可權資訊。
頁面產生的 2017-08-07 15:55-07:00。