Microsoft 安全咨询4056318
有关保护 Azure AD 连接用于目录同步的 AD DS 帐户的指南
发布时间: 2017 年 12 月 12 日
版本: 1.1
执行摘要
Microsoft 正在发布此安全公告,提供有关 Azure AD 连接用于目录同步的 AD DS(Active Directory 域服务)帐户的安全设置的信息。 此公告还提供了有关本地 AD 管理员可以执行的操作的指导,以确保帐户得到适当的保护。
咨询详细信息
Azure AD 连接允许客户在本地 AD 和 Azure AD 之间同步目录数据。 Azure AD 连接需要使用 AD DS 用户帐户来访问本地 AD。 此帐户有时称为 AD DS 连接器帐户。 设置 Azure AD 连接时,安装管理员可以:
- 提供现有的 AD DS 帐户,或
- 让 Azure AD 连接自动创建帐户。 该帐户将直接在本地 AD 用户容器下创建。
若要使 Azure AD 连接履行其功能,必须向帐户授予特定的特权目录权限(例如,对混合 Exchange 写回的目录对象写入权限,或 DS-Replication-Get-Changes 和 DS-Replication-Get-Changes-All for Password Hash Synchronization)。 若要了解有关帐户的详细信息,请参阅 Azure AD 连接:帐户和权限一文。
假设存在恶意的本地 AD 管理员,对客户的本地 AD 具有有限访问权限,但对 AD DS 帐户具有 Reset-Password 权限。 恶意管理员可以将 AD DS 帐户的密码重置为已知的密码值。 这反过来又允许恶意管理员获得对客户的本地 AD 的未经授权的特权访问。
建议的操作
遵循最佳做法管理本地 AD
Microsoft 建议客户遵循保护 Active Directory 管理员istrative 组和帐户一文中所述的最佳做法来管理其本地 AD。 在可能的情况下:
- 应避免使用帐户操作员组,因为默认情况下,组的成员对用户容器下的对象具有 Reset-Password 权限。
- 将 Azure AD 连接 和其他特权帐户使用的 AD DS 帐户移到仅受信任或高度特权管理员可访问的 OU(组织单位)。
- 将 Reset-Password 权限委派给特定用户时,将访问权限限定为仅对其管理的用户对象的访问权限。 例如,你希望让支持人员管理员为分支机构中的用户管理密码重置。 请考虑在特定 OU 下将分支机构中的用户分组,并向支持人员管理员授予该 OU 而不是用户容器的 Reset-Password 权限。
锁定对 AD DS 帐户的访问权限
通过在本地 AD 中实现以下权限更改来锁定对 AD DS 帐户的访问:
- 禁用对对象的访问控制列表继承。
- 删除除 标准版LF 以外的对象的所有默认权限。
- 实现以下权限:
| 类型 | 名称 | 访问 | 应用于 |
|---|---|---|---|
| 允许 | SYSTEM | 完全控制 | 此对象 |
| 允许 | 企业管理员 | 完全控制 | 此对象 |
| 允许 | 域管理员 | 完全控制 | 此对象 |
| 允许 | 管理员 | 完全控制 | 此对象 |
| 允许 | 企业域控制器 | 列出内容 | 此对象 |
| 允许 | 企业域控制器 | 读取所有属性 | 此对象 |
| 允许 | 企业域控制器 | 读取权限 | 此对象 |
| 允许 | 经过身份验证的用户 | 列出内容 | 此对象 |
| 允许 | 经过身份验证的用户 | 读取所有属性 | 此对象 |
| 允许 | 经过身份验证的用户 | 读取权限 | 此对象 |
可以使用 Azure AD 连接 Sync 的准备 Active Directory 林和域上提供的 PowerShell 脚本来帮助你在 AD DS 帐户上实现权限更改。
Azure AD 连接改进
若要查找此漏洞是否用于入侵 AAD连接配置,请执行以下操作:
- 验证服务帐户的最后一个密码重置日期。
- 如果发现意外的时间戳,请调查该密码重置事件的事件日志。
Azure AD 连接改进
Azure AD 连接版本 1.1.654.0(及之后)添加了改进,以确保在 Azure AD 连接创建 AD DS 帐户时,会自动应用“锁定对 AD DS 帐户的访问权限”部分中所述的建议权限更改:
- 设置 Azure AD Connect 时,安装管理员可提供现有的 AD DS 帐户,也可以让 Azure AD Connect 自动创建帐户。 权限更改将自动应用到在设置期间由 Azure AD Connect 创建的 AD DS 帐户。 它们不适用于安装管理员所提供的现有 AD DS 帐户。
- 对于从早期版本的 Azure AD Connect 升级到 1.1.654.0(或更高版本)的客户,权限更改将不会以追溯的方式应用于升级前创建的现有 AD DS 帐户。 它们仅适用于升级后创建的新 AD DS 帐户。 在添加要被同步到 Azure AD 的新 AD 林时会发生这种情况。
其他信息
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出。
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
致谢
Microsoft 感谢 以下部门与我们合作,帮助保护客户:
- 罗马·布拉赫曼和亚伦·齐纳尔 的先行者
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关详细信息,请参阅国际性支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2017 年 12 月 12 日):已发布公告。
- V1.1(2017 年 12 月 18 日):更新了帐户权限信息。
页面生成的 2017-08-07 15:55-07:00。