Поделиться через

Советы по безопасности Майкрософт 4033453

  • Статья

Уязвимость в Azure AD Подключение может разрешить повышение привилегий

Опубликовано: 27 июня 2017 г.

Версия: 1.0

Краткий обзор

Корпорация Майкрософт выпускает эти рекомендации по безопасности, чтобы сообщить клиентам о том, что доступна новая версия Подключение Azure Active Directory (AD), которая устраняет важную уязвимость безопасности.

Обновление устраняет уязвимость, которая может разрешить повышение привилегий, если azure AD Подключение обратная запись паролей неправильно настроена во время включения. Злоумышленник, который успешно воспользовался этой уязвимостью, может сбросить пароли и получить несанкционированный доступ к произвольным локальным учетным записям привилегированных пользователей AD.

Проблема устранена в последней версии (1.1.553.0) Azure AD Подключение, не разрешая произвольный сброс пароля в локальные учетные записи привилегированных пользователей AD.

Сведения о рекомендациях

Обратная запись паролей — это компонент Azure AD Подключение. Он позволяет пользователям настраивать Azure AD для записи паролей обратно в локальная служба Active Directory. Он предоставляет удобный облачный способ сброса локальных паролей, где бы они ни находились. Сведения о обратной записи паролей см. в обзоре обратной записи паролей.

Чтобы включить обратную запись паролей, Azure AD Подключение необходимо предоставить разрешение сброса пароля через локальные учетные записи пользователей AD. При настройке разрешения локальный сервер AD Администратор istrator может непреднамеренно предоставить Azure AD Подключение с разрешением сброса пароля для локальных учетных записей AD с привилегированными учетными записями (включая учетные записи корпоративного и домена Администратор istrator). Сведения об учетных записях привилегированных пользователей AD см. в разделе "Защищенные учетные записи и группы" в Active Directory.

Эта конфигурация не рекомендуется, так как она позволяет злоумышленнику azure AD Администратор istrator сбрасывать пароль произвольной локальной учетной записи AD с привилегированным значением пароля с помощью обратной записи паролей. Это, в свою очередь, позволяет злоумышленнику Azure AD Администратор istrator получить привилегированный доступ к локальной ad клиента.

См. раздел CVE-2017-8613 — Уязвимость azure AD Подключение повышение привилегий

Предлагаемые действия

Проверка того, затронута ли ваша организация

Эта проблема влияет только на клиентов, которые включили функцию обратной записи паролей в Azure AD Подключение. Чтобы определить, включена ли функция, выполните следующие действия.

  1. Войдите на сервер Azure AD Подключение.
  2. Запустите мастер Подключение Azure AD (ЗАПУСК → Azure AD Подключение).
  3. На экране приветствия щелкните Настроить.
  4. На экране "Задачи" выберите "Просмотреть текущую конфигурацию " и нажмите кнопку "Далее".
  5. В разделе Параметры синхронизации проверка, если включена обратная запись паролей.

 

 

Если включена обратная запись паролей, оцените, предоставлен ли серверу Azure AD Подключение разрешение сброса пароля через локальные привилегированные учетные записи AD. Azure AD Подключение использует учетную запись AD DS для синхронизации изменений с локальной службой AD. Та же учетная запись AD DS используется для выполнения операции сброса пароля с локальной службой AD. Чтобы определить, какая учетная запись AD DS используется:

  1. Войдите на сервер Azure AD Подключение.
  2. Запустите Диспетчер службы синхронизации (запуск службы синхронизации → синхронизации).
  3. На вкладке Соединители выберите локальный соединитель AD и щелкните Свойства.

 

  1. В диалоговом окне "Свойства" выберите вкладку Подключение в лес Active Directory и запишите свойство имени пользователя. Это учетная запись AD DS, используемая Azure AD Connect для выполнения синхронизации каталогов.

 

Чтобы azure AD Подключение для обратной записи паролей в локальных привилегированных учетных записях AD, учетная запись AD DS должна быть предоставлена разрешение сброса пароля для этих учетных записей. Обычно это происходит, если у локального администратора AD есть один из следующих вариантов:

  • Сделал учетную запись AD DS членом локальной привилегированной группы AD (например, корпоративные Администратор istrator или группу доменных Администратор istrators), OR
  • Создано управление правами доступа в контейнере adminSDHolder, который предоставляет учетную запись AD DS с разрешением сброса пароля. Сведения о том, как контейнер adminSDHolder влияет на доступ к локальным привилегированным учетным записям AD, см. в разделе "Защищенные учетные записи и группы" в Active Directory.

Необходимо проверить действующие разрешения, назначенные этой учетной записи AD DS. Это может быть сложно, и может возникнуть ошибка, чтобы сделать это, проверив существующие списки управления доступом и назначение групп. Проще выбрать набор существующих локальных привилегированных учетных записей AD и использовать функцию "Действующие разрешения Windows", чтобы определить, имеет ли учетная запись AD DS разрешение сброса пароля для этих выбранных учетных записей. Сведения об использовании функции "Действующие разрешения" см. в статье "Проверка наличия необходимых разрешений для обратной записи паролей Azure AD Подключение".

Примечание.

У вас может быть несколько учетных записей AD DS для оценки синхронизации нескольких локальных лесов AD с помощью Azure AD Подключение.

Действия по исправлению

Обновление до последней версии (1.1.553.0) Подключение Azure AD, которую можно скачать здесь. Мы рекомендуем это сделать, даже если ваша организация в настоящее время не затронута. Сведения об обновлении Azure AD Подключение см. в Подключение Azure AD. Узнайте, как обновить предыдущую версию до последней версии.

Последняя версия Azure AD Подключение устраняет эту проблему, блокируя запрос обратной записи паролей для локальных привилегированных учетных записей AD, если только запрос azure AD Администратор istrator не является владельцем локальной учетной записи AD. В частности, когда Azure AD Подключение получает запрос обратной записи паролей из Azure AD:

  • Он проверка, если целевая локальная учетная запись AD является привилегированной учетной записью, проверяя атрибут AD adminCount. Если значение равно null или 0, Azure AD Подключение завершает работу с этой учетной записью, а не привилегированной учетной записью и разрешает запрос обратной записи паролей.
  • Если значение не равно null или 0, azure AD Подключение завершает это привилегированную учетную запись. Затем он проверяет, является ли запрашивающий пользователь владельцем целевой локальной учетной записи AD. Это делается путем проверка связи между целевой локальной учетной записью AD и учетной записью Azure AD запрашивающего пользователя в метавселенной. Если запрашивающий пользователь действительно является владельцем, Azure AD Подключение разрешает запрос обратной записи паролей. В противном случае запрос отклоняется.

Примечание.

Атрибут adminCount управляется процессом SDProp. По умолчанию SDProp выполняется каждые 60 минут. Таким образом, до обновления атрибута adminCount только что созданной учетной записи привилегированного пользователя AD до 1 может потребоваться до 1. Пока это не произойдет, администратор Azure AD по-прежнему может сбросить пароль новой учетной записи. Сведения о процессе SDProp см. в разделе "Защищенные учетные записи и группы" в Active Directory.

Шаги по устранению

Если вы не можете немедленно обновить до последней версии Azure AD Подключение, рассмотрите следующие варианты:

  • Если учетная запись AD DS является членом одной или нескольких локальных привилегированных групп AD, рассмотрите возможность удаления учетной записи AD DS из групп.
  • Если локальный администратор AD ранее создал управление правами доступа на объект adminSDHolder для учетной записи AD DS, которая разрешает сброс пароля, рассмотрите возможность его удаления.
  • Возможно, не всегда можно удалить существующие разрешения, предоставленные учетной записи AD DS (например, учетная запись AD DS зависит от членства в группе для разрешений, необходимых для других функций, таких как синхронизация паролей или гибридная запись Exchange). Рассмотрите возможность создания запрета ACE на объекте adminSDHolder, который запрещает учетную запись AD DS с разрешением сброса пароля. Сведения о создании запрета ACE с помощью средства Windows DSACLS см. в разделе "Изменение контейнера Администратор SDHolder".
    DSACLS DNofAdminSDHolderContainer /D CONTOSO\ADDSAccount:CA;"Reset Password"

Страница создана 2017-06-27 09:50-07:00.