Partilhar via

Comunicado de Segurança da Microsoft 4056318

  • Artigo

Orientação para proteger a conta do AD DS usada pelo Azure AD Connect para sincronização de diretórios

Publicado em: 12 de dezembro de 2017

Versão: 1.1

Resumo Executivo

A Microsoft está lançando este comunicado de segurança para fornecer informações sobre configurações de segurança para a conta AD DS (Serviços de Domínio Ative Directory) usada pelo Azure AD Connect para sincronização de diretórios. Este comunicado também fornece orientação sobre o que os administradores do AD locais podem fazer para garantir que a conta esteja protegida corretamente.

Detalhes do Comunicado

O Azure AD Connect permite que os clientes sincronizem dados de diretório entre o AD local e o Azure AD. O Azure AD Connect requer o uso de uma conta de usuário do AD DS para acessar o AD local. Essa conta às vezes é chamada de conta do conector do AD DS. Ao configurar o Azure AD Connect, o administrador de instalação pode:

  • Fornecer uma conta AD DS existente ou
  • Permita que o Azure AD Connect crie automaticamente a conta. A conta será criada diretamente no contêiner de Usuário do AD local.

Para que o Azure AD Connect cumpra sua função, a conta deve receber permissões de diretório privilegiadas específicas (como permissões de Gravação em objetos de diretório para write-back do Exchange Híbrido ou DS-Replication-Get-Changes e DS-Replication-Get-Changes-All para Sincronização de Hash de Senha). Para saber mais sobre a conta, consulte o artigo Azure AD Connect: Contas e Permissões.

Suponha que haja um administrador do AD local mal-intencionado com acesso limitado ao AD local do cliente, mas que tenha permissão Redefinir Senha para a conta do AD DS. O administrador mal-intencionado pode redefinir a senha da conta do AD DS para um valor de senha conhecido. Isso, por sua vez, permite que o administrador mal-intencionado obtenha acesso privilegiado não autorizado ao AD local do cliente.

Ações Sugeridas

Gerencie seu AD local seguindo as práticas recomendadas

A Microsoft recomenda que os clientes gerenciem seu AD local seguindo as práticas recomendadas descritas no artigo Protegendo grupos administrativos e contas do Ative Directory. Sempre que possível:

  • O uso do grupo Operadores de Conta deve ser evitado, uma vez que os membros do grupo por padrão têm permissões Reset-Password para objetos no contêiner Usuário.
  • Mova a conta do AD DS usada pelo Azure AD Connect e outras contas privilegiadas para uma UO (Unidade Organizacional) acessível apenas por administradores confiáveis ou altamente privilegiados.
  • Ao delegar a permissão Reset-Password a usuários específicos, defina o escopo de seu acesso apenas a objetos de usuário para os quais eles devem gerenciar. Por exemplo, você deseja permitir que o administrador do helpdesk gerencie a redefinição de senha para usuários em uma filial. Considere agrupar os usuários na filial em uma UO específica e conceda ao administrador do helpdesk permissão Reset-Password para essa UO em vez do contêiner Usuário.

Bloquear o acesso à conta do AD DS

Bloqueie o acesso à conta do AD DS implementando as seguintes alterações de permissão no AD local:

  • Desative a herança da Lista de Controle de Acesso no objeto.
  • Remova todas as permissões padrão no objeto, exceto SELF.
  • Implemente estas permissões:
Type Nome Access Aplica-se A
Permitir SISTEMA Controlo Total Este objeto
Permitir Administradores da Empresa Controlo Total Este objeto
Permitir Administradores do Domínio Controlo Total Este objeto
Permitir Administradores Controlo Total Este objeto
Permitir Controladores de domínio empresariais Conteúdo da lista Este objeto
Permitir Controladores de domínio empresariais Ler todos os imóveis Este objeto
Permitir Controladores de domínio empresariais Permissões de leitura Este objeto
Permitir Utilizadores Autenticados Conteúdo da lista Este objeto
Permitir Utilizadores Autenticados Ler todos os imóveis Este objeto
Permitir Utilizadores Autenticados Permissões de leitura Este objeto

Você pode usar o script do PowerShell disponível em Preparar Floresta e Domínios do Ative Directory para o Azure AD Connect Sync para ajudá-lo a implementar as alterações de permissão na conta do AD DS.

Melhoria no Azure AD Connect

Para descobrir se esta vulnerabilidade foi usada para comprometer a configuração do AADConnect, faça o seguinte:

  • Verifique a data da última redefinição de senha da conta de serviço.
  • Investigue o log de eventos para esse evento de redefinição de senha se encontrar um carimbo de data/hora inesperado.

Melhoria no Azure AD Connect

Uma melhoria foi adicionada ao Azure AD Connect versão 1.1.654.0 (e posterior) para garantir que as alterações de permissão recomendadas descritas na seção Bloquear acesso à conta do AD DS sejam aplicadas automaticamente quando o Azure AD Connect criar a conta do AD DS:

  • Ao configurar o Azure AD Connect, o administrador de instalação pode fornecer uma conta do AD DS existente ou permitir que o Azure AD Connect crie automaticamente a conta. As alterações de permissão são aplicadas automaticamente à conta do AD DS criada pelo Azure AD Connect durante a instalação. Eles não são aplicados à conta existente do AD DS fornecida pelo administrador de instalação.
  • Para clientes que atualizaram de uma versão mais antiga do Azure AD Connect para 1.1.654.0 (ou posterior), as alterações de permissão não serão aplicadas retroativamente às contas existentes do AD DS criadas antes da atualização. Eles só serão aplicados a novas contas do AD DS criadas após a atualização. Isso ocorre quando você está adicionando novas florestas do AD para serem sincronizadas com o Azure AD.

Outras informações

Programa Microsoft Ative Protections (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal de atualização de segurança. Os fornecedores de software de segurança podem então utilizar estas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de deteção de intrusões baseados na rede ou sistemas de prevenção de intrusões baseados em anfitrião. Para determinar se as proteções ativas estão disponíveis nos provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Ative Protections Program (MAPP).

Comentários

Agradecimentos

A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:

  • Roman Blachman e Yaron Zinar de Preempt

Suporte

  • Os clientes nos Estados Unidos e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte a Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de Responsabilidade

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (12 de dezembro de 2017): Comunicado publicado.
  • V1.1 (18 de dezembro de 2017): Informações atualizadas sobre as permissões da conta.

Página gerada em 2017-08-07 15:55-07:00.