关于保护 Azure AD Connect 用于目录同步的 AD DS 账户的指南
发布日期: 2017年12月12日 版本: 1.1
执行摘要
Microsoft 发布此安全公告,旨在提供有关 Azure AD Connect 用于目录同步的 AD DS(Active Directory 域服务)账户安全设置的信息。本公告还提供了本地 AD 管理员可以采取哪些措施来确保该账户得到适当保护的相关指导。
公告详情
Azure AD Connect 允许客户在其本地 AD 和 Azure AD 之间同步目录数据。Azure AD Connect 需要使用一个 AD DS 用户账户来访问本地 AD。此账户有时被称为 AD DS 连接器账户。在设置 Azure AD Connect 时,安装管理员可以:
- 提供一个现有的 AD DS 账户,或者
- 让 Azure AD Connect 自动创建该账户。该账户将直接在本地 AD 的 User 容器下创建。
为了使 Azure AD Connect 实现其功能,必须授予该账户特定的特权目录权限(例如,针对混合 Exchange 写回的目录对象“写入”权限,或针对密码哈希同步的“DS-Replication-Get-Changes”和“DS-Replication-Get-Changes-All”权限)。要了解更多关于此账户的信息,请参考文章 Azure AD Connect:账户和权限。
假设存在一个恶意的本地 AD 管理员,其对客户的本地 AD 访问权限有限,但拥有对该 AD DS 账户的“重置密码”权限。该恶意管理员可以将 AD DS 账户的密码重置为一个已知的密码值。这反过来使得恶意管理员能够未经授权地、特权地访问客户的本地 AD。
建议措施
遵循最佳实践管理本地 AD
Microsoft 建议客户按照文章《保护 Active Directory 管理组和账户》中描述的最佳实践来管理其本地 AD。在可能的情况下:
- 应避免使用“Account Operators”组,因为该组的成员默认拥有对 User 容器下对象的“重置密码”权限。
- 将 Azure AD Connect 使用的 AD DS 账户以及其他特权账户移动到一个仅可由受信任或高特权管理员访问的 OU(组织单位)中。
- 在将“重置密码”权限委托给特定用户时,将其访问范围限定在他们应该管理的用户对象上。例如,如果您希望让您的服务台管理员管理分支机构用户密码重置,请考虑将分支机构的用户分组到一个特定的 OU 下,并授予服务台管理员对该 OU 的“重置密码”权限,而不是针对整个 User 容器。
锁定对 AD DS 账户的访问
通过在本地 AD 中实施以下权限更改,锁定对 AD DS 账户的访问:
- 禁用对象上的访问控制列表 (ACL) 继承。
- 移除对象上除“SELF”之外的所有默认权限。
- 实施以下权限:
| 类型 | 名称 | 访问权限 | 适用于 |
|---|---|---|---|
| 允许 | SYSTEM | 完全控制 | 此对象 |
| 允许 | Enterprise Admins | 完全控制 | 此对象 |
| 允许 | Domain Admins | 完全控制 | 此对象 |
| 允许 | Administrators | 完全控制 | 此对象 |
| 允许 | Enterprise Domain Controllers | 列出内容 | 此对象 |
| 允许 | Enterprise Domain Controllers | 读取所有属性 | 此对象 |
| 允许 | Enterprise Domain Controllers | 读取权限 | 此对象 |
| 允许 | Authenticated Users | 列出内容 | 此对象 |
| 允许 | Authenticated Users | 读取所有属性 | 此对象 |
| 允许 | Authenticated Users | 读取权限 | 此对象 |
您可以使用 Prepare Active Directory Forest and Domains for Azure AD Connect Sync 中提供的 PowerShell 脚本来帮助您在 AD DS 账户上实施这些权限更改。
对 Azure AD Connect 的改进
要查明此漏洞是否曾被用来破坏您的 AADConnect 配置,请执行以下操作:
- 验证服务账户的最后密码重置日期。
- 如果您发现时间戳异常,请调查该密码重置事件的事件日志。
Azure AD Connect 的改进
Azure AD Connect 版本 1.1.654.0(及之后版本)已添加一项改进,以确保在 Azure AD Connect 创建 AD DS 账户时,自动应用“锁定对 AD DS 账户的访问”部分中描述的推荐权限更改:
- 在设置 Azure AD Connect 时,安装管理员可以提供一个现有的 AD DS 账户,或者让 Azure AD Connect 自动创建该账户。权限更改会自动应用于 Azure AD Connect 在设置期间创建的 AD DS 账户。它们不会应用于安装管理员提供的现有 AD DS 账户。
- 对于从旧版 Azure AD Connect 升级到 1.1.654.0(或之后版本)的客户,权限更改不会追溯应用于升级前创建的现有 AD DS 账户。它们仅会应用于升级后创建的新 AD DS 账户。当您添加要同步到 Azure AD 的新 AD 林时会发生这种情况。
其他信息
Microsoft Active Protections Program (MAPP)
为了增强客户的安全保护,Microsoft 在每月安全更新发布之前,会向主要的安全软件提供商提供漏洞信息。然后,安全软件提供商可以使用此漏洞信息,通过其安全软件或设备(如防病毒软件、基于网络的入侵检测系统或基于主机的入侵防御系统)向客户提供更新的保护。要确定安全软件提供商是否提供了主动保护,请访问计划合作伙伴提供的主动保护网站,列于 Microsoft Active Protections Program (MAPP) Partners。
反馈
您可以通过填写 Microsoft 帮助和支持表单、客户服务联系我们 来提供反馈。
致谢
Microsoft 感谢以下人员与我们合作以帮助保护客户:
- Preempt 的 Roman Blachman 和 Yaron Zinar
支持
- 美国和加拿大的客户可以从 安全支持 获得技术支持。有关更多信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从当地的 Microsoft 子公司获得支持。有关更多信息,请参阅 国际支持。
- Microsoft TechNet 安全 提供了有关 Microsoft 产品安全性的更多信息。
免责声明
本公告中提供的信息“按原样”提供,不作任何明示或暗示的担保。Microsoft 否认所有明示或暗示的担保,包括适销性和针对特定用途的适用性的担保。在任何情况下,对于任何直接、间接、附带、后果性、业务利润损失或特殊损害赔偿,即使 Microsoft Corporation 或其供应商已被告知可能发生此类损害,Microsoft Corporation 或其供应商也不承担任何责任。有些州不允许排除或限制对附带或后果性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2017年12月12日):公告发布。
- V1.1(2017年12月18日):更新了账户权限信息。
页面生成时间 2017-08-07 15:55-07:00。
