Porady dotyczące zabezpieczeń firmy Microsoft 4056318
Wskazówki dotyczące zabezpieczania konta usług AD DS używanego przez usługę Azure AD Połączenie na potrzeby synchronizacji katalogów
Opublikowano: 12 grudnia 2017 r.
Wersja: 1.1
Streszczenie
Firma Microsoft publikuje ten biuletyn zabezpieczeń, aby udostępnić informacje dotyczące ustawień zabezpieczeń dla konta usług AD DS (domena usługi Active Directory Services) używanego przez usługę Azure AD Połączenie na potrzeby synchronizacji katalogów. Ten poradnik zawiera również wskazówki dotyczące tego, co mogą zrobić lokalni administratorzy usługi AD, aby upewnić się, że konto jest prawidłowo zabezpieczone.
Szczegóły porady
Usługa Azure AD Połączenie umożliwia klientom synchronizowanie danych katalogu między lokalną usługą AD i usługą Azure AD. Usługa Azure AD Połączenie wymaga użycia konta użytkownika usług AD DS w celu uzyskania dostępu do lokalnej usługi AD. To konto jest czasami nazywane kontem łącznika usług AD DS. Podczas konfigurowania Połączenie usługi Azure AD administrator instalacji może wykonywać następujące czynności:
- Podaj istniejące konto usług AD DS lub
- Pozwól usłudze Azure AD Połączenie automatycznie utworzyć konto. Konto zostanie utworzone bezpośrednio w lokalnym kontenerze użytkownika usługi AD.
Aby usługa Azure AD Połączenie spełniała swoją funkcję, konto musi mieć określone uprawnienia do katalogu uprzywilejowanego (takie jak uprawnienia zapisu do obiektów katalogu na potrzeby zapisywania zwrotnego hybrydowego programu Exchange lub DS-Replication-Get-Changes i DS-Replication-Get-Changes-All na potrzeby synchronizacji skrótów haseł). Aby dowiedzieć się więcej o koncie, zapoznaj się z artykułem Azure AD Połączenie: Accounts and Permissions (Konta i uprawnienia).
Załóżmy, że istnieje złośliwy lokalny administrator usługi AD z ograniczonym dostępem do lokalnej usługi AD klienta, ale ma uprawnienie Reset-Password do konta usług AD DS. Złośliwy administrator może zresetować hasło konta usług AD DS do znanej wartości hasła. Dzięki temu złośliwy administrator może uzyskać nieautoryzowany, uprzywilejowany dostęp do lokalnej usługi AD klienta.
Sugerowane akcje
Zarządzanie lokalną usługą AD zgodnie z najlepszymi rozwiązaniami
Firma Microsoft zaleca klientom zarządzanie lokalną usługą AD zgodnie z najlepszymi rozwiązaniami opisanymi w artykule Zabezpieczanie usługi Active Directory Administracja grup i kont. Jeśli to możliwe:
- Należy unikać używania grupy Operatorzy kont, ponieważ członkowie grupy domyślnie mają uprawnienia Resetowanie hasła do obiektów w kontenerze Użytkownik.
- Przenieś konto usług AD DS używane przez usługę Azure AD Połączenie i inne uprzywilejowane konta do jednostki organizacyjnej (jednostki organizacyjnej), która jest dostępna tylko przez zaufanych lub wysoce uprzywilejowanych administratorów.
- W przypadku delegowania uprawnień Reset-Password do określonych użytkowników należy ograniczyć ich dostęp tylko do obiektów użytkowników, którymi mają zarządzać. Na przykład chcesz zezwolić administratorowi pomocy technicznej na zarządzanie resetowaniem haseł dla użytkowników w oddziale. Rozważ grupowanie użytkowników w oddziale w ramach określonej jednostki organizacyjnej i udzielanie administratorowi pomocy technicznej uprawnienia Reset-Password do tej jednostki organizacyjnej zamiast kontenera Użytkownik.
Blokowanie dostępu do konta usług AD DS
Zablokuj dostęp do konta usług AD DS, implementując następujące zmiany uprawnień w lokalnej usłudze AD:
- Wyłącz dziedziczenie listy kontroli dostępu w obiekcie.
- Usuń wszystkie uprawnienia domyślne dla obiektu z wyjątkiem SELF.
- Zaimplementuj następujące uprawnienia:
| Type | Nazwisko | Access | Dotyczy |
|---|---|---|---|
| Zezwalaj | SYSTEM | Pełna kontrola | Ten obiekt |
| Zezwalaj | Enterprise Admins | Pełna kontrola | Ten obiekt |
| Zezwalaj | Domain Admins | Pełna kontrola | Ten obiekt |
| Zezwalaj | Administratorzy | Pełna kontrola | Ten obiekt |
| Zezwalaj | Kontrolery domeny przedsiębiorstwa | Zawartość listy | Ten obiekt |
| Zezwalaj | Kontrolery domeny przedsiębiorstwa | Odczytywanie wszystkich właściwości | Ten obiekt |
| Zezwalaj | Kontrolery domeny przedsiębiorstwa | Uprawnienia do odczytu | Ten obiekt |
| Zezwalaj | Uwierzytelnieni użytkownicy | Zawartość listy | Ten obiekt |
| Zezwalaj | Uwierzytelnieni użytkownicy | Odczytywanie wszystkich właściwości | Ten obiekt |
| Zezwalaj | Uwierzytelnieni użytkownicy | Uprawnienia do odczytu | Ten obiekt |
Możesz użyć skryptu programu PowerShell dostępnego w artykule Przygotowywanie lasu i domen usługi Active Directory dla usługi Azure AD Połączenie Sync, aby ułatwić implementowanie zmian uprawnień na koncie usług AD DS.
Poprawa Połączenie usługi Azure AD
Aby sprawdzić, czy ta luka w zabezpieczeniach została użyta do naruszenia konfiguracji usługi AAD Połączenie, wykonaj następujące czynności:
- Sprawdź datę ostatniego resetowania hasła konta usługi.
- Zbadaj dziennik zdarzeń dla tego zdarzenia resetowania hasła, jeśli znajdziesz nieoczekiwany znacznik czasu.
Poprawa Połączenie usługi Azure AD
Wprowadzono ulepszenia do usługi Azure AD Połączenie w wersji 1.1.654.0 (i nowszej), aby upewnić się, że zalecane zmiany uprawnień opisane w sekcji Blokowanie dostępu do konta usług AD DS są stosowane automatycznie, gdy usługa Azure AD Połączenie tworzy konto usług AD DS:
- Podczas konfigurowania Połączenie usługi Azure AD administrator instalacji może udostępnić istniejące konto usług AD DS lub zezwolić usłudze Azure AD Połączenie automatycznie utworzyć konto. Zmiany uprawnień są automatycznie stosowane do konta usług AD DS utworzonego przez usługę Azure AD Połączenie podczas instalacji. Nie są one stosowane do istniejącego konta usług AD DS udostępnianego przez administratora instalacji.
- W przypadku klientów, którzy uaktualnili starszą wersję usługi Azure AD Połączenie do wersji 1.1.654.0 (lub nowszej), zmiany uprawnień nie zostaną zastosowane wstecznie do istniejących kont usług AD DS utworzonych przed uaktualnieniem. Zostaną one zastosowane tylko do nowych kont usług AD DS utworzonych po uaktualnieniu. Dzieje się tak, gdy dodajesz nowe lasy usługi AD do synchronizacji z usługą Azure AD.
Inne informacje
Microsoft Active Protections Program (MAPP)
Aby zwiększyć ochronę zabezpieczeń dla klientów, firma Microsoft udostępnia informacje o lukach w zabezpieczeniach głównym dostawcom oprogramowania zabezpieczającego przed każdym comiesięcznym wydaniem aktualizacji zabezpieczeń. Dostawcy oprogramowania zabezpieczającego mogą następnie używać tych informacji o lukach w zabezpieczeniach, aby zapewnić klientom zaktualizowane zabezpieczenia za pośrednictwem oprogramowania lub urządzeń zabezpieczeń, takich jak oprogramowanie antywirusowe, systemy wykrywania nieautoryzowanego dostępu do sieci lub systemy zapobiegania włamaniom oparte na hoście. Aby określić, czy aktywne zabezpieczenia są dostępne od dostawców oprogramowania zabezpieczającego, odwiedź aktywne witryny sieci Web udostępniane przez partnerów programu wymienionych w programie Microsoft Active Protections Program (MAPP).
Opinia
- Możesz przekazać opinię, wypełniając formularz Pomoc i obsługa techniczna firmy Microsoft, skontaktuj się z nami.
Podziękowania
Firma Microsoft dziękuje za współpracę z nami w celu ochrony klientów:
- Roman Blachman i Yaron Zinar z Preempt
Pomoc techniczna
- Klienci w Stany Zjednoczone i Kanadzie mogą otrzymywać pomoc techniczną od działu pomocy technicznej ds. zabezpieczeń. Aby uzyskać więcej informacji, zobacz Pomoc i obsługa techniczna firmy Microsoft.
- Klienci międzynarodowi mogą otrzymywać pomoc techniczną od swoich lokalnych spółek zależnych firmy Microsoft. Aby uzyskać więcej informacji, zobacz International Support (Pomoc techniczna międzynarodowa).
- Microsoft TechNet Security zawiera dodatkowe informacje na temat zabezpieczeń w produktach firmy Microsoft.
Zastrzeżenie
Informacje podane w tym poradniku są dostarczane "tak, jak jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.
Poprawki
- Wersja 1.0 (12 grudnia 2017 r.): Opublikowano porady.
- Wersja 1.1 (18 grudnia 2017 r.): Zaktualizowano informacje o uprawnieniach konta.
Strona wygenerowana 2017-08-07 15:55-07:00.