Azure AD Connect安全指南:保护目录同步账户的最佳实践
保护Azure AD Connect用于目录同步的AD DS账户指南
发布日期:2017年12月12日
版本:1.1
执行摘要
微软发布此安全公告,旨在提供有关Azure AD Connect用于目录同步的AD DS(Active Directory域服务)账户的安全设置信息。本公告还为本地AD管理员提供了确保账户得到适当保护的指导。
公告详情
Azure AD Connect允许客户在其本地AD和Azure AD之间同步目录数据。Azure AD Connect需要使用AD DS用户账户来访问本地AD。此账户有时称为AD DS连接器账户。在设置Azure AD Connect时,安装管理员可以:
- 提供现有的AD DS账户,或
- 让Azure AD Connect自动创建账户。该账户将直接在本地AD用户容器下创建。
为了使Azure AD Connect实现其功能,必须授予该账户特定的特权目录权限(例如,用于混合Exchange回写的目录对象的写入权限,或用于密码哈希同步的DS-Replication-Get-Changes和DS-Replication-Get-Changes-All权限)。要了解更多关于该账户的信息,请参考文章Azure AD Connect:账户和权限。
假设存在一个恶意本地AD管理员,其对客户的本地AD访问权限有限,但具有对AD DS账户的重置密码权限。该恶意管理员可以将AD DS账户的密码重置为已知的密码值。这反过来允许恶意管理员获得对客户本地AD的未经授权的特权访问。
建议措施
遵循最佳实践管理本地AD
微软建议客户遵循文章保护Active Directory管理组和账户中描述的最佳实践来管理其本地AD。在可能的情况下:
- 应避免使用账户操作员组,因为该组的成员默认对用户容器下的对象具有重置密码权限。
- 将Azure AD Connect使用的AD DS账户和其他特权账户移动到仅由受信任或高特权管理员访问的组织单元(OU)中。
- 在将重置密码权限委派给特定用户时,将其访问范围限定为他们应该管理的用户对象。例如,如果您希望让您的帮助台管理员管理分支机构用户的密码重置,请考虑将这些用户分组到特定的OU下,并授予帮助台管理员对该OU的重置密码权限,而不是用户容器。
锁定对AD DS账户的访问
通过在本地AD中实施以下权限更改来锁定对AD DS账户的访问:
- 禁用对象上的访问控制列表继承。
- 删除对象上除SELF之外的所有默认权限。
- 实施以下权限:
| 类型 | 名称 | 访问 | 应用于 |
|---|---|---|---|
| 允许 | SYSTEM | 完全控制 | 此对象 |
| 允许 | 企业管理员 | 完全控制 | 此对象 |
| 允许 | 域管理员 | 完全控制 | 此对象 |
| 允许 | 管理员 | 完全控制 | 此对象 |
| 允许 | 企业域控制器 | 列出内容 | 此对象 |
| 允许 | 企业域控制器 | 读取所有属性 | 此对象 |
| 允许 | 企业域控制器 | 读取权限 | 此对象 |
| 允许 | 已验证的用户 | 列出内容 | 此对象 |
| 允许 | 已验证的用户 | 读取所有属性 | 此对象 |
| 允许 | 已验证的用户 | 读取权限 | 此对象 |
您可以使用准备Active Directory林和域以用于Azure AD Connect同步中提供的PowerShell脚本来帮助您在AD DS账户上实施权限更改。
Azure AD Connect的改进
要查找是否利用此漏洞破坏了您的AADConnect配置,请执行以下操作:
- 验证服务账户的最后密码重置日期。
- 如果您发现意外的时间戳,请调查该密码重置事件的事件日志。
Azure AD Connect的改进
Azure AD Connect版本1.1.654.0(及之后版本)已添加一项改进,以确保在Azure AD Connect创建AD DS账户时自动应用“锁定对AD DS账户的访问”部分中描述的推荐权限更改:
- 在设置Azure AD Connect时,安装管理员可以提供现有的AD DS账户,或让Azure AD Connect自动创建账户。权限更改会自动应用于在设置期间由Azure AD Connect创建的AD DS账户。它们不适用于安装管理员提供的现有AD DS账户。
- 对于从旧版Azure AD Connect升级到1.1.654.0(或之后版本)的客户,权限更改不会追溯应用于升级前创建的现有AD DS账户。它们仅适用于升级后创建的新AD DS账户。当您添加要同步到Azure AD的新AD林时会发生这种情况。
其他信息
Microsoft主动保护计划(MAPP)
为了改善客户的安全保护,微软在每个月度安全更新发布之前向主要安全软件提供商提供漏洞信息。然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(例如防病毒软件、基于网络的入侵检测系统或基于主机的入侵防御系统)向客户提供更新的保护。要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的主动保护网站,列在Microsoft主动保护计划(MAPP)合作伙伴中。
反馈
您可以通过填写Microsoft帮助和支持表单、客户服务联系我们提供反馈。
致谢
微软感谢以下人员与我们合作帮助保护客户:
- Preempt的Roman Blachman和Yaron Zinar
支持
- 美国和加拿大的客户可以从安全支持获得技术支持。有关更多信息,请参阅Microsoft帮助和支持。
- 国际客户可以从当地的微软子公司获得支持。有关更多信息,请参阅国际支持。
- Microsoft TechNet安全提供有关Microsoft产品中安全的更多信息。
免责声明
本公告中提供的信息“按原样”提供,不作任何明示或暗示的担保。微软否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,微软公司或其供应商都不对任何损害承担责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使微软公司或其供应商已被告知可能发生此类损害。某些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2017年12月12日):公告发布。
- V1.1(2017年12月18日):更新了账户权限信息。
页面生成于2017-08-07 15:55-07:00。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号