Советы по безопасности Майкрософт 4056318
Руководство по защите учетной записи AD DS, используемой azure AD Подключение для синхронизации каталогов
Опубликовано: 12 декабря 2017 г.
Версия: 1.1
Краткий обзор
Корпорация Майкрософт выпускает эти рекомендации по безопасности, чтобы предоставить сведения о параметрах безопасности для учетной записи AD DS (домен Active Directory служб), используемой azure AD Подключение для синхронизации каталогов. Эти рекомендации также содержат рекомендации по тому, что могут сделать локальные администраторы AD, чтобы обеспечить правильную защиту учетной записи.
Сведения о рекомендациях
Azure AD Подключение позволяет клиентам синхронизировать данные каталога между локальной службой AD и Azure AD. Azure AD Подключение требует использования учетной записи пользователя AD DS для доступа к локальной службе AD. Эта учетная запись иногда называется учетной записью соединителя AD DS. При настройке Azure AD Подключение администратор установки может:
- Укажите существующую учетную запись AD DS или
- Пусть Azure AD Подключение автоматически создать учетную запись. Учетная запись будет создана непосредственно в локальном контейнере пользователя AD.
Чтобы azure AD Подключение выполнил свою функцию, учетная запись должна быть предоставлена определенным привилегированным разрешениям каталога (например, разрешения на запись в объекты каталога для гибридной записи Exchange или ds-Replication-Get-Changes и DS-Replication-Get-Changes-All для синхронизации хэша паролей). Дополнительные сведения об учетной записи см. в статье Azure AD Подключение: учетные записи и разрешения.
Предположим, что у локального администратора AD есть вредоносный администратор с ограниченным доступом к локальной службе AD клиента, но у него есть разрешение на сброс пароля для учетной записи AD DS. Злоумышленник может сбросить пароль учетной записи AD DS в известное значение пароля. Это, в свою очередь, позволяет злоумышленнику получить несанкционированный привилегированный доступ к локальной ad клиента.
Предлагаемые действия
Управление локальной службой AD, следуя рекомендациям
Корпорация Майкрософт рекомендует клиентам управлять локальной службой AD, следуя рекомендациям, описанным в статье "Защита Администратор групп и учетных записей Active Directory". Где это возможно:
- Следует избегать использования группы операторов учетных записей, так как члены группы по умолчанию имеют разрешения сброса пароля для объектов в контейнере пользователя.
- Переместите учетную запись AD DS, используемую azure AD Подключение и другими привилегированными учетными записями, в подразделение (подразделение организации), доступное только доверенным или высоко привилегированным администраторам.
- При делегировании разрешения сброса пароля определенным пользователям область доступ только к объектам пользователей, для которых они должны управлять. Например, вы хотите разрешить администратору службы поддержки управлять сбросом пароля для пользователей в филиале. Рассмотрите возможность группировки пользователей в филиале в определенном подразделении и предоставьте администратору службы поддержки разрешение сброса пароля для этого подразделения вместо контейнера пользователя.
Блокировка доступа к учетной записи AD DS
Чтобы заблокировать доступ к учетной записи AD DS, можно реализовать следующие изменения в разрешениях в локальной службе AD:
- Отключите наследование контроль доступа List для объекта.
- Удалите все разрешения по умолчанию для объекта, кроме SELF.
- Реализуйте следующие разрешения:
Тип | Имя. | Открыть | Применяется к |
---|---|---|---|
Разрешить | SYSTEM | Полный доступ | этому объекту |
Разрешить | Администраторы предприятия | Полный доступ | этому объекту |
Разрешить | Администраторы домена | Полный доступ | этому объекту |
Разрешить | Администраторы | Полный доступ | этому объекту |
Разрешить | Контроллеры домена предприятия | Вывод списка содержимого | этому объекту |
Разрешить | Контроллеры домена предприятия | Чтение всех свойств | этому объекту |
Разрешить | Контроллеры домена предприятия | Разрешения на чтение | этому объекту |
Разрешить | Пользователи, прошедшие проверку подлинности | Вывод списка содержимого | этому объекту |
Разрешить | Пользователи, прошедшие проверку подлинности | Чтение всех свойств | этому объекту |
Разрешить | Пользователи, прошедшие проверку подлинности | Разрешения на чтение | этому объекту |
Вы можете использовать скрипт PowerShell, доступный при подготовке леса и доменов Active Directory для Azure AD Подключение Sync, чтобы реализовать изменения разрешений в учетной записи AD DS.
Улучшение Подключение Azure AD
Чтобы определить, была ли эта уязвимость используется для компрометации конфигурации AAD Подключение, выполните следующие действия.
- Проверьте дату последнего сброса пароля учетной записи службы.
- Изучите журнал событий для этого события сброса пароля, если найдите непредвиденная метка времени.
Улучшение Подключение Azure AD
Улучшение было добавлено в Azure AD Подключение версии 1.1.654.0 (и после), чтобы убедиться, что рекомендуемые изменения разрешений, описанные в разделе "Блокировка доступа к учетной записи AD DS", автоматически применяются, когда Azure AD Подключение создает учетную запись AD DS:
- При настройке Azure AD Connect администратор, выполняющий установку, может указать существующую учетную запись AD DS или выбрать автоматическое создание учетной записи с помощью Azure AD Connect. Изменения в разрешениях автоматически применяются к учетной записи AD DS, созданной с помощью Azure AD Connect во время установки. Они не применяются к существующей учетной записи AD DS, указанной администратором, выполняющим установку.
- Для клиентов, которые выполнили обновление с прежней версии Azure AD Connect 1.1.654.0 (или более поздней версии), изменения в разрешениях не применяются задним числом к существующим учетным записям AD DS, созданным до обновления. Они будут применяться только к новым учетным записям AD DS, созданным после обновления. Это происходит при добавлении новых лесов AD для синхронизации с Azure AD.
Другие сведения
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программах Microsoft Active Protections Program (MAPP).
Feedback
- Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.
Благодарности
Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:
Поддержка
- Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения см. в справке и поддержке Майкрософт.
- Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения см. в статье "Международная поддержка".
- Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.
Заявление об отказе
Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- Версия 1.0 (12 декабря 2017 г.): рекомендации, опубликованные.
- Версия 1.1 (18 декабря 2017 г.): обновлены сведения о разрешениях учетной записи.
Страница создана 2017-08-07 15:55-07:00.