Conseils de sécurité Microsoft 4056318
Conseils pour la sécurisation du compte AD DS utilisé par Azure AD Connecter pour la synchronisation d’annuaires
Publication : 12 décembre 2017
Version : 1.1
Résumé
Microsoft publie cet avis de sécurité pour fournir des informations sur les paramètres de sécurité du compte AD DS (services de domaine Active Directory) utilisé par Azure AD Connecter pour la synchronisation d’annuaires. Cet avis fournit également des conseils sur ce que les administrateurs AD locaux peuvent faire pour s’assurer que le compte est correctement sécurisé.
Détails de l’avis
Azure AD Connecter permet aux clients de synchroniser les données d’annuaire entre leur ad local et Azure AD. Azure AD Connecter nécessite l’utilisation d’un compte d’utilisateur AD DS pour accéder à ad local. Ce compte est parfois appelé compte de connecteur AD DS. Lors de la configuration d’Azure AD Connecter, l’administrateur d’installation peut :
- Fournissez un compte AD DS existant ou
- Laissez Azure AD Connecter créer automatiquement le compte. Le compte est créé directement sous le conteneur utilisateur AD local.
Pour qu’Azure AD Connecter remplir sa fonction, le compte doit disposer d’autorisations d’annuaire privilégiées spécifiques (telles que les autorisations d’écriture pour l’écriture différée Exchange hybride, ou DS-Replication-Get-Changes et DS-Replication-Get-Changes-All pour la synchronisation de hachage de mot de passe). Pour en savoir plus sur le compte, reportez-vous à l’article Azure AD Connecter : Comptes et autorisations.
Supposons qu’il existe un administrateur AD local malveillant disposant d’un accès limité à ad local du client, mais qu’il dispose de l’autorisation Réinitialiser le mot de passe sur le compte AD DS. L’administrateur malveillant peut réinitialiser le mot de passe du compte AD DS à une valeur de mot de passe connue. Cela permet à l’administrateur malveillant d’obtenir un accès non autorisé et privilégié à l’AD local du client.
Actions suggérées
Gérer vos meilleures pratiques ad locales
Microsoft recommande aux clients de gérer leur ad local en suivant les meilleures pratiques décrites dans l’article Sécurisation des comptes et des groupes active Directory Administration istratives. Dans la cas où cela est possible :
- L’utilisation du groupe Opérateurs de compte doit être évitée, car les membres du groupe disposent par défaut des autorisations Réinitialiser le mot de passe pour les objets sous le conteneur Utilisateur.
- Déplacez le compte AD DS utilisé par Azure AD Connecter et d’autres comptes privilégiés dans une unité d’organisation accessible uniquement par les administrateurs approuvés ou hautement privilégiés.
- Lors de la délégation de l’autorisation Reset-Password à des utilisateurs spécifiques, limitez leur accès aux seuls objets utilisateur pour lesquels ils sont censés gérer. Par exemple, vous souhaitez permettre à votre administrateur du support technique de gérer la réinitialisation de mot de passe pour les utilisateurs d’une filiale. Envisagez de regrouper les utilisateurs dans la filiale sous une unité d’organisation spécifique et d’accorder à l’administrateur du support technique l’autorisation Réinitialiser le mot de passe à cette unité d’organisation au lieu du conteneur Utilisateur.
Verrouiller l’accès au compte AD DS
Verrouillez l’accès au compte AD DS en implémentant les changements d’autorisations suivants dans l’annuaire AD local :
- Désactivez l’héritage de liste de contrôle d’accès sur l’objet.
- Supprimez toutes les autorisations par défaut sur l’objet, à l’exception de SELF.
- Implémentez ces autorisations :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | SYSTEM | Contrôle total | Cet objet |
| Allow | Administrateurs de l’entreprise | Contrôle total | Cet objet |
| Allow | Admins du domaine | Contrôle total | Cet objet |
| Allow | Administrateurs | Contrôle total | Cet objet |
| Allow | Contrôleurs de domaine d’entreprise | Lister le contenu | Cet objet |
| Allow | Contrôleurs de domaine d’entreprise | Lire toutes les propriétés | Cet objet |
| Allow | Contrôleurs de domaine d’entreprise | Autorisations de lecture | Cet objet |
| Allow | Utilisateurs authentifiés | Lister le contenu | Cet objet |
| Allow | Utilisateurs authentifiés | Lire toutes les propriétés | Cet objet |
| Allow | Utilisateurs authentifiés | Autorisations de lecture | Cet objet |
Vous pouvez utiliser le script PowerShell disponible dans Prepare Active Directory Forest and Domains for Azure AD Connecter Sync pour vous aider à implémenter les modifications d’autorisation sur le compte AD DS.
Amélioration de la Connecter Azure AD
Pour déterminer si cette vulnérabilité a été utilisée pour compromettre votre configuration AAD Connecter, procédez comme suit :
- Vérifiez la dernière date de réinitialisation du mot de passe du compte de service.
- Examinez le journal des événements pour cet événement de réinitialisation de mot de passe si vous trouvez un horodatage inattendu.
Amélioration de la Connecter Azure AD
Une amélioration a été ajoutée à Azure AD Connecter version 1.1.654.0 (et après) pour vous assurer que les modifications d’autorisation recommandées décrites dans la section Verrouiller l’accès au compte AD DS sont automatiquement appliquées quand Azure AD Connecter crée le compte AD DS :
- Lors de la configuration d’Azure AD Connect, l’administrateur qui effectue l’installation peut fournir un compte AD DS existant ou laisser Azure AD Connect créer automatiquement le compte. Les changements d’autorisations sont appliquées automatiquement au compte AD DS créé par Azure AD Connect pendant l’installation. Ils ne sont pas appliqués au compte AD DS existant fourni par l’administrateur lors de l’installation.
- Pour les clients ayant effectué une mise à niveau à partir d’une version antérieure d’Azure AD Connect vers la version 1.1.654.0 (ou ultérieure), les changements d’autorisations ne seront pas appliqués rétroactivement aux comptes AD DS existants créés avant la mise à niveau. Ils seront appliqués uniquement aux nouveaux comptes AD DS créés après la mise à niveau. Cela se produit quand vous ajoutez de nouvelles forêts Active Directory à synchroniser avec Azure AD.
Autres informations
Programme Microsoft Active Protections (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.
Commentaires
- Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.
Remerciements
Microsoft remercie ce qui suit pour nous aider à protéger les clients :
- Roman Blachman et Yaron Zinar de Preempt
Support
- Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
- Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (12 décembre 2017) : avis publié.
- V1.1 (18 décembre 2017) : informations sur les autorisations de compte mises à jour.
Page générée 2017-08-07 15 :55-07 :00.