Microsoft Security Advisory 4056318
Leitfaden zum Sichern des AD DS-Kontos, das von Azure AD Verbinden für die Verzeichnissynchronisierung verwendet wird
Veröffentlicht: 12. Dezember 2017
Version: 1.1
Kurzfassung
Microsoft veröffentlicht diese Sicherheitsempfehlung, um Informationen zu Sicherheitseinstellungen für das AD DS-Konto (Active Directory-Domäne Services) bereitzustellen, das von Azure AD Verbinden für die Verzeichnissynchronisierung verwendet wird. Diese Empfehlung enthält auch Anleitungen dazu, was lokale AD-Administratoren tun können, um sicherzustellen, dass das Konto ordnungsgemäß gesichert ist.
Beratungsdetails
Mit Azure AD Verbinden können Kunden Verzeichnisdaten zwischen ihrem lokalen AD und Azure AD synchronisieren. Azure AD Verbinden erfordert die Verwendung eines AD DS-Benutzerkontos für den Zugriff auf das lokale AD. Dieses Konto wird manchmal als AD DS-Connectorkonto bezeichnet. Beim Einrichten von Azure AD Verbinden kann der Installationsadministrator eine der folgenden Aktionen ausführen:
- Bereitstellen eines vorhandenen AD DS-Kontos oder
- Lassen Sie Azure AD Verbinden das Konto automatisch erstellen. Das Konto wird direkt unter dem lokalen AD-Benutzercontainer erstellt.
Damit Azure AD Verbinden seine Funktion erfüllen kann, muss dem Konto bestimmte privilegierte Verzeichnisberechtigungen erteilt werden (z. B. Schreibberechtigungen für Verzeichnisobjekte für hybrides Exchange-Rückschreiben oder DS-Replication-Get-Changes und DS-Replication-Get-Changes-All für die Kennworthashsynchronisierung). Weitere Informationen zum Konto finden Sie im Artikel Azure AD Verbinden: Konten und Berechtigungen.
Angenommen, es gibt einen böswilligen lokalen AD-Administrator mit eingeschränktem Zugriff auf das lokale AD des Kunden, verfügt aber über die Berechtigung "Kennwort zurücksetzen" für das AD DS-Konto. Der böswillige Administrator kann das Kennwort des AD DS-Kontos auf einen bekannten Kennwortwert zurücksetzen. Dies wiederum ermöglicht es dem böswilligen Administrator, nicht autorisierten, privilegierten Zugriff auf das lokale AD des Kunden zu erhalten.
Vorgeschlagene Aktionen
Verwalten Ihrer lokalen AD nach bewährten Methoden
Microsoft empfiehlt Kunden, ihre lokale AD nach den bewährten Methoden zu verwalten, die im Artikel Schützen von Administrativen Active Directory-Gruppen und -Konten beschrieben sind. Wo möglich:
- Die Verwendung der Gruppe "Kontooperatoren" sollte vermieden werden, da Mitglieder der Gruppe standardmäßig über Reset-Password-Berechtigungen für Objekte unter dem Benutzercontainer verfügen.
- Verschieben Sie das AD DS-Konto, das von Azure AD Verbinden und anderen privilegierten Konten verwendet wird, in eine OU (Organisationseinheit), auf die nur von vertrauenswürdigen oder hoch privilegierten Administratoren zugegriffen werden kann.
- Wenn Sie die Berechtigung "Zurücksetzen-Kennwort" an bestimmte Benutzer delegieren, beschränken Sie den Zugriff auf nur Benutzerobjekte, für die sie verwalten sollen. Beispielsweise möchten Sie Ihrem Helpdeskadministrator erlauben, die Kennwortzurücksetzung für Benutzer in einer Zweigstelle zu verwalten. Erwägen Sie das Gruppieren der Benutzer in der Zweigstelle unter einer bestimmten OU, und erteilen Sie dem Helpdesk-Administrator die Berechtigung "Kennwort zurücksetzen" anstelle des Benutzercontainers.
Sperren des Zugriffs auf das AD DS-Konto
Sie sperren den Zugriff auf das AD DS-Konto durch die Implementierung der folgenden Berechtigungsänderungen im lokalen AD:
- Deaktivieren Sie die Vererbung der Zugriffssteuerungsliste für das Objekt.
- Entfernen Sie alle Standardberechtigungen für Objekte mit Ausnahme von SELF.
- Implementieren Sie diese Berechtigungen:
| type | Name | Zugriff | Gilt für |
|---|---|---|---|
| Allow | SYSTEM | Vollzugriff | Dieses Objekt |
| Allow | Organisationsadministratoren | Vollzugriff | Dieses Objekt |
| Allow | Domänenadministratoren | Vollzugriff | Dieses Objekt |
| Allow | Administratoren | Vollzugriff | Dieses Objekt |
| Allow | Domänencontroller des Unternehmens | Inhalt auflisten | Dieses Objekt |
| Allow | Domänencontroller des Unternehmens | Alle Eigenschaften lesen | Dieses Objekt |
| Allow | Domänencontroller des Unternehmens | Leseberechtigungen | Dieses Objekt |
| Allow | Authentifizierte Benutzer | Inhalt auflisten | Dieses Objekt |
| Allow | Authentifizierte Benutzer | Alle Eigenschaften lesen | Dieses Objekt |
| Allow | Authentifizierte Benutzer | Leseberechtigungen | Dieses Objekt |
Sie können das PowerShell-Skript verwenden, das unter "Active Directory-Gesamtstruktur vorbereiten" und "Do Standard für Azure AD Verbinden Sync" verfügbar ist, um Ihnen bei der Implementierung der Berechtigungsänderungen im AD DS-Konto zu helfen.
Verbesserung der Azure AD-Verbinden
Gehen Sie wie folgt vor, um zu ermitteln, ob diese Sicherheitsanfälligkeit verwendet wurde, um Ihre AAD Verbinden Konfiguration zu kompromittieren:
- Überprüfen Sie das Datum der letzten Kennwortzurücksetzung des Dienstkontos.
- Untersuchen Sie das Ereignisprotokoll für dieses Kennwortzurücksetzungsereignis, wenn Sie einen unerwarteten Zeitstempel finden.
Verbesserung der Azure AD-Verbinden
Zu Azure AD Verbinden Version 1.1.654.0 (und danach) wurde eine Verbesserung hinzugefügt, um sicherzustellen, dass die empfohlenen Berechtigungsänderungen, die unter dem Abschnitt "Sperren des Zugriffs auf das AD DS-Konto" beschrieben sind, automatisch angewendet werden, wenn Azure AD Verbinden das AD DS-Konto erstellt:
- Beim Einrichten von Azure AD Connect kann der installierende Administrator ein vorhandenes AD DS-Konto angeben oder Azure AD Connect das Konto automatisch erstellen lassen. Die Berechtigungsänderungen werden automatisch auf das AD DS-Konto angewendet, das während des Setups von Azure AD Connect erstellt wird. Sie werden nicht auf ein vorhandenes AD DS-Konto angewendet, das ggf. vom installierenden Administrator bereitgestellt wird.
- Für Kunden, die ein Upgrade von einer früheren Version von Azure AD Connect auf 1.1.654.0 (oder höher) durchgeführt haben, werden die Berechtigungsänderungen nicht rückwirkend auf vorhandene AD DS-Konten angewendet, die vor dem Upgrade erstellt wurden. Sie werden nur auf neue AD DS-Konten angewendet, die nach dem Upgrade erstellt werden. Dies erfolgt beim Hinzufügen von neuen AD-Gesamtstrukturen, die mit Azure AD synchronisiert werden sollen.
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie bitte die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Danksagungen
Microsoft danke ihnen für die Zusammenarbeit mit uns, um Kunden zu schützen:
- Roman Blachman und Yaron Zinar von Preempt
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (12. Dezember 2017): Empfehlung veröffentlicht.
- V1.1 (18. Dezember 2017): Aktualisierte Kontoberechtigungsinformationen.
Seite generiert 2017-08-07 15:55-07:00.