Udostępnij za pośrednictwem

Porady dotyczące zabezpieczeń firmy Microsoft 4033453

  • Artykuł

Luka w zabezpieczeniach w usłudze Azure AD Połączenie może zezwalać na podniesienie uprawnień

Opublikowano: 27 czerwca 2017 r.

Wersja: 1.0

Streszczenie

Firma Microsoft publikuje ten biuletyn zabezpieczeń, aby poinformować klientów, że dostępna jest nowa wersja usługi Azure Active Directory (AD) Połączenie, która eliminuje ważną lukę w zabezpieczeniach.

Aktualizacja usuwa lukę w zabezpieczeniach, która może umożliwić podniesienie uprawnień, jeśli usługa Azure AD Połączenie zapisywania zwrotnego haseł jest nieprawidłowo skonfigurowana podczas włączania. Osoba atakująca, która pomyślnie wykorzystała tę lukę w zabezpieczeniach, może zresetować hasła i uzyskać nieautoryzowany dostęp do dowolnych lokalnych kont użytkowników uprzywilejowanych usługi AD.

Problem został rozwiązany w najnowszej wersji (1.1.553.0) usługi Azure AD Połączenie, nie zezwalając na dowolne resetowanie hasła do lokalnych kont użytkowników uprzywilejowanych usługi AD.

Szczegóły porady

Zapisywanie zwrotne haseł jest składnikiem Połączenie usługi Azure AD. Umożliwia to użytkownikom konfigurowanie usługi Azure AD w celu zapisywania haseł z powrotem do lokalna usługa Active Directory. Zapewnia ona wygodny, oparty na chmurze sposób resetowania haseł lokalnych przez użytkowników niezależnie od tego, gdzie się znajdują. Aby uzyskać informacje na temat zapisywania zwrotnego haseł, zapoznaj się z omówieniem zapisywania zwrotnego haseł.

Aby włączyć funkcję zapisywania zwrotnego haseł, usługa Azure AD Połączenie musi mieć uprawnienie Resetowanie hasła dla lokalnych kont użytkowników usługi AD. Podczas konfigurowania uprawnienia lokalna usługa AD Administracja istrator może przypadkowo przyznać usłudze Azure AD Połączenie z uprawnieniem Resetowanie hasła za pośrednictwem lokalnych kont uprzywilejowanych usługi AD (w tym kont przedsiębiorstwa i domeny Administracja istrator). Aby uzyskać informacje o kontach użytkowników uprzywilejowanych usługi AD, zobacz Chronione konta i grupy w usłudze Active Directory.

Ta konfiguracja nie jest zalecana, ponieważ umożliwia złośliwemu Administracja istratorowi usługi Azure AD zresetowanie hasła dowolnego konta uprzywilejowanego użytkownika usługi AD do znanej wartości hasła przy użyciu zapisywania zwrotnego haseł. Dzięki temu złośliwy Administracja istrator usługi Azure AD może uzyskać uprzywilejowany dostęp do lokalnej usługi AD klienta.

Zobacz CVE-2017-8613 — Luka w zabezpieczeniach dotycząca podniesienia uprawnień w usłudze Azure AD Połączenie

Sugerowane akcje

Sprawdź, czy twoja organizacja ma wpływ

Ten problem dotyczy tylko klientów, którzy włączyli funkcję zapisywania zwrotnego haseł w usłudze Azure AD Połączenie. Aby określić, czy funkcja jest włączona:

  1. Zaloguj się do serwera usługi Azure AD Połączenie.
  2. Uruchom kreatora Połączenie usługi Azure AD (START → Azure AD Połączenie).
  3. Na ekranie powitalnym kliknij pozycję Konfiguruj.
  4. Na ekranie Zadania wybierz pozycję Wyświetl bieżącą konfigurację , a następnie kliknij przycisk Dalej.
  5. W obszarze Synchronizacja Ustawienia sprawdź, czy włączono funkcję zapisywania zwrotnego haseł.

 

 

Jeśli funkcja zapisywania zwrotnego haseł jest włączona, sprawdź, czy na serwerze usługi Azure AD Połączenie udzielono uprawnień resetowania hasła na lokalnych kontach uprzywilejowanych usługi AD. Usługa Azure AD Połączenie używa konta usług AD DS do synchronizowania zmian z lokalną usługą AD. To samo konto usług AD DS służy do wykonywania operacji resetowania hasła w lokalnej usłudze AD. Aby określić, które konto usług AD DS jest używane:

  1. Zaloguj się do serwera usługi Azure AD Połączenie.
  2. Uruchom program Synchronization Service Manager (Uruchom usługę synchronizacji →).
  3. Na karcie Połączenie ors wybierz lokalny łącznik usługi AD i kliknij pozycję Właściwości.

 

  1. W oknie dialogowym Właściwości wybierz kartę Połączenie do lasu usługi Active Directory i zanotuj właściwość Nazwa użytkownika. Jest to konto usług AD DS używane przez usługę Azure AD Połączenie do przeprowadzania synchronizacji katalogów.

 

Aby usługa Azure AD Połączenie do wykonywania zapisywania zwrotnego haseł na lokalnych kontach uprzywilejowanych usługi AD, konto usług AD DS musi mieć uprawnienie Resetowanie hasła na tych kontach. Zwykle dzieje się tak, jeśli administrator lokalnej usługi AD ma jedną z następujących sytuacji:

  • Konto usług AD DS jest członkiem lokalnej grupy uprzywilejowanej usługi AD (na przykład enterprise Administracja istrators lub grupy Administracja istratorów domeny) LUB
  • Utworzono prawa dostępu kontroli w kontenerze adminSDHolder, który przyznaje konto usług AD DS z uprawnieniem Resetowanie hasła. Aby uzyskać informacje na temat wpływu kontenera adminSDHolder na dostęp do lokalnych kont uprzywilejowanych usługi AD, zobacz Chronione konta i grupy w usłudze Active Directory.

Musisz sprawdzić obowiązujące uprawnienia przypisane do tego konta usług AD DS. Może to być trudne i podatne na błędy, sprawdzając istniejące listy ACL i przypisanie grupy. Łatwiejszą metodą jest wybranie zestawu istniejących lokalnych kont uprzywilejowanych usługi AD i użycie funkcji Skuteczne uprawnienia systemu Windows w celu określenia, czy konto usług AD DS ma uprawnienie Resetowanie hasła na tych wybranych kontach. Aby uzyskać informacje na temat korzystania z funkcji Skuteczne uprawnienia, zobacz Sprawdzanie, czy usługa Azure AD Połączenie ma wymagane uprawnienie do zapisywania zwrotnego haseł.

Uwaga

Może istnieć więcej niż jedno konto usług AD DS do oceny, jeśli synchronizujesz wiele lokalnych lasów usługi AD przy użyciu usługi Azure AD Połączenie.

Kroki rozwiązania problemu

Uaktualnij do najnowszej wersji (1.1.553.0) usługi Azure AD Połączenie, którą można pobrać tutaj. Zalecamy wykonanie tej czynności nawet wtedy, gdy twoja organizacja nie ma obecnie wpływu. Aby uzyskać informacje na temat uaktualniania Połączenie usługi Azure AD, zapoznaj się z tematem Azure AD Połączenie: Dowiedz się, jak uaktualnić poprzednią wersję do najnowszej.

Najnowsza wersja usługi Azure AD Połączenie rozwiązuje ten problem, blokując żądanie zapisywania zwrotnego haseł dla lokalnych kont uprzywilejowanych usługi AD, chyba że żądanie usługi Azure AD Administracja istrator jest właścicielem lokalnego konta usługi AD. Mówiąc dokładniej, gdy usługa Azure AD Połączenie odbiera żądanie zapisywania zwrotnego haseł z usługi Azure AD:

  • Sprawdza, czy docelowe lokalne konto usługi AD jest kontem uprzywilejowanym, sprawdzając atrybut ADMINCount usługi AD. Jeśli wartość ma wartość null lub 0, usługa Azure AD Połączenie stwierdza, że nie jest to uprzywilejowane konto i zezwala na żądanie zapisywania zwrotnego haseł.
  • Jeśli wartość nie ma wartości null lub 0, usługa Azure AD Połączenie stwierdza, że jest to konto uprzywilejowane. Następnie sprawdza, czy żądany użytkownik jest właścicielem docelowego lokalnego konta usługi AD. Robi to, sprawdzając relację między docelowym lokalnym kontem usługi AD i kontem usługi Azure AD żądanego użytkownika w aplikacji Metaverse. Jeśli żądający użytkownik jest rzeczywiście właścicielem, usługa Azure AD Połączenie zezwala na żądanie zapisywania zwrotnego haseł. W przeciwnym razie żądanie jest odrzucane.

Uwaga

Atrybut adminCount jest zarządzany przez proces SDProp. Domyślnie sdProp jest uruchamiany co 60 minut. W związku z tym może upłynąć do godziny, zanim atrybut adminCount nowo utworzonego konta użytkownika uprzywilejowanego usługi AD zostanie zaktualizowany z wartości NULL do 1. Do tego czasu administrator usługi Azure AD nadal może zresetować hasło tego nowo utworzonego konta. Aby uzyskać informacje na temat procesu SDProp, zobacz Chronione konta i grupy w usłudze Active Directory.

Kroki zaradcze

Jeśli nie możesz natychmiast przeprowadzić uaktualnienia do najnowszej wersji "Azure AD Połączenie", rozważ następujące opcje:

  • Jeśli konto usług AD DS jest członkiem co najmniej jednej lokalnej grupy uprzywilejowanej usługi AD, rozważ usunięcie konta usług AD DS z grup.
  • Jeśli lokalny administrator usługi AD wcześniej utworzył uprawnienia kontroli dostępu dla obiektu adminSDHolder dla konta usług AD DS, które zezwala na operację Resetowanie hasła, rozważ jego usunięcie.
  • Nie zawsze może być możliwe usunięcie istniejących uprawnień przyznanych kontu usług AD DS (na przykład konto usług AD DS opiera się na członkostwie grupy w celu uzyskania uprawnień wymaganych w przypadku innych funkcji, takich jak synchronizacja haseł lub zapisywanie zwrotne hybrydowe programu Exchange). Rozważ utworzenie ACE DENY na obiekcie adminSDHolder, który nie zezwala na konto usług AD DS z uprawnieniem Resetowanie hasła. Aby uzyskać informacje na temat tworzenia ACE DENY przy użyciu narzędzia DSACLS systemu Windows, zobacz Modyfikowanie kontenera Administracja SDHolder.
    DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"

Strona wygenerowana 2017-06-27 09:50-07:00.