Microsoft Security Advisory 4056318
Linee guida per la protezione dell'account di Active Directory Domain Services usato da Azure AD Connessione per la sincronizzazione della directory
Pubblicato: 12 dicembre 2017
Versione: 1.1
Schema riepilogativo
Microsoft rilascia questo avviso di sicurezza per fornire informazioni sulle impostazioni di sicurezza per l'account di Servizi di dominio Active Directory (Dominio di Active Directory Services) usato da Azure AD Connessione per la sincronizzazione della directory. Questo avviso fornisce anche indicazioni sulle operazioni che gli amministratori di ACTIVE Directory locali possono eseguire per garantire che l'account sia protetto correttamente.
Dettagli avviso
Azure AD Connessione consente ai clienti di sincronizzare i dati della directory tra AD locale e Azure AD. Azure AD Connessione richiede l'uso di un account utente di Active Directory Domain Services per accedere ad AD locale. Questo account viene talvolta definito account del connettore di Active Directory Domain Services. Quando si configura Azure AD Connessione, l'amministratore di installazione può:
- Specificare un account Active Directory Domain Services esistente o
- Consentire ad Azure AD Connessione creare automaticamente l'account. L'account verrà creato direttamente nel contenitore utente di ACTIVE Directory locale.
Affinché Azure AD Connessione soddisfare la relativa funzione, all'account devono essere concesse autorizzazioni di directory privilegiate specifiche, ad esempio autorizzazioni di scrittura per gli oggetti directory per il writeback di Exchange ibrido o DS-Replication-Get-Changes e DS-Replication-Get-Changes-All per la sincronizzazione dell'hash delle password. Per altre informazioni sull'account, vedere l'articolo Azure AD Connessione: Account e autorizzazioni.
Si supponga che sia presente un amministratore di Active Directory locale dannoso con accesso limitato ad AD locale del cliente, ma dispone dell'autorizzazione Reset-Password per l'account di Active Directory Domain Services. L'amministratore malintenzionato può reimpostare la password dell'account di Active Directory Domain Services su un valore di password noto. Ciò a sua volta consente all'amministratore malintenzionato di ottenere l'accesso non autorizzato e con privilegi ad AD locale del cliente.
Azioni suggerite
Gestire l'istanza locale di Active Directory seguendo le procedure consigliate
Microsoft consiglia ai clienti di gestire active directory locale seguendo le procedure consigliate descritte nell'articolo Protezione di Active Directory Amministrazione istrative gruppi e account. Dove possibile:
- È consigliabile evitare l'uso del gruppo Account Operators, perché per impostazione predefinita i membri del gruppo dispongono delle autorizzazioni Reimposta password per gli oggetti nel contenitore Utente.
- Spostare l'account di Active Directory Domain Services usato da Azure AD Connessione e altri account con privilegi in un'unità organizzativa (Unità organizzativa) accessibile solo dagli amministratori attendibili o con privilegi elevati.
- Quando si delega l'autorizzazione Reset-Password a utenti specifici, definire l'ambito dell'accesso solo agli oggetti utente per i quali devono essere gestiti. Ad esempio, si vuole consentire all'amministratore del supporto tecnico di gestire la reimpostazione della password per gli utenti di una succursale. Prendere in considerazione la possibilità di raggruppare gli utenti nella succursale in un'unità organizzativa specifica e concedere all'amministratore del supporto tecnico l'autorizzazione reimpostazione della password a tale unità organizzativa anziché al contenitore Utente.
Bloccare l'accesso all'account di Active Directory Domain Services
Bloccare l'accesso all'account di Active Directory Domain Services implementando le seguenti modifiche alle autorizzazioni in AD locale:
- Disabilitare Controllo di accesso Elencare l'ereditarietà nell'oggetto .
- Rimuovere tutte le autorizzazioni predefinite per l'oggetto, ad eccezione di edizione Standard LF.
- Implementare queste autorizzazioni:
| Type | Nome | Accesso | Si applica a |
|---|---|---|---|
| Consenti | SYSTEM | Controllo completo | Questo oggetto |
| Consenti | Amministratori Enterprise | Controllo completo | Questo oggetto |
| Consenti | Domain Admins | Controllo completo | Questo oggetto |
| Consenti | Amministratori | Controllo completo | Questo oggetto |
| Consenti | Controller di dominio organizzazione | Contenuto elenco | Questo oggetto |
| Consenti | Controller di dominio organizzazione | Leggi tutte le proprietà | Questo oggetto |
| Consenti | Controller di dominio organizzazione | Autorizzazioni di lettura | Questo oggetto |
| Consenti | Utenti autenticati | Contenuto elenco | Questo oggetto |
| Consenti | Utenti autenticati | Leggi tutte le proprietà | Questo oggetto |
| Consenti | Utenti autenticati | Autorizzazioni di lettura | Questo oggetto |
È possibile usare lo script di PowerShell disponibile in Preparare la foresta e i domini di Active Directory per Azure AD Connessione Sync per implementare le modifiche alle autorizzazioni nell'account di Active Directory Domain Services.
Miglioramento delle Connessione di Azure AD
Per verificare se questa vulnerabilità è stata usata per compromettere la configurazione di AAD Connessione, eseguire le operazioni seguenti:
- Verificare l'ultima data di reimpostazione della password dell'account del servizio.
- Esaminare il registro eventi per l'evento di reimpostazione della password se viene rilevato un timestamp imprevisto.
Miglioramento delle Connessione di Azure AD
È stato aggiunto un miglioramento ad Azure AD Connessione versione 1.1.654.0 (e successive) per assicurarsi che le modifiche alle autorizzazioni consigliate descritte nella sezione Bloccare l'accesso all'account di Active Directory Domain Services vengano applicate automaticamente quando Azure AD Connessione crea l'account di Active Directory Domain Services:
- Quando si configura Azure AD Connect, l'amministratore che esegue l'installazione può specificare un account di Active Directory Domain Services esistente oppure consentire ad Azure AD Connect di creare automaticamente l'account. Le modifiche alle autorizzazioni vengono applicate automaticamente all'account di Active Directory Domain Services creato da Azure AD Connect durante l'installazione. Non vengono applicate all'account di Active Directory Domain Services esistente fornito dall'amministratore che esegue l'installazione.
- Per i clienti che hanno eseguito l'aggiornamento da una versione precedente di Azure AD Connect alla versione 1.1.654.0 (o successive), le modifiche alle autorizzazioni non verranno applicate retroattivamente agli account di Active Directory Domain Services esistenti creati prima dell'aggiornamento. Le modifiche verranno applicate solo ai nuovi account di Active Directory Domain Services creati dopo l'aggiornamento. Ciò si verifica quando si aggiungono nuove foreste di AD da sincronizzare con Azure AD.
Altre informazioni
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Riconoscimenti
Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:
- Romano Bashman e Yaron Zinar di Preempt
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni, vedere Supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (12 dicembre 2017): Avviso pubblicato.
- V1.1 (18 dicembre 2017): informazioni aggiornate sulle autorizzazioni dell'account.
Pagina generata 2017-08-07 15:55-07:00.