Microsoft Security Advisory 4056318
Richtlijnen voor het beveiligen van een AD DS-account dat wordt gebruikt door Azure AD-Verbinding maken voor adreslijstsynchronisatie
Gepubliceerd: 12 december 2017
Versie: 1.1
Samenvatting
Microsoft brengt dit beveiligingsadvies uit om informatie te verstrekken over beveiligingsinstellingen voor het AD DS-account (Active Directory-domein Services) dat wordt gebruikt door Azure AD Verbinding maken voor adreslijstsynchronisatie. Dit advies biedt ook richtlijnen voor wat on-premises AD-beheerders kunnen doen om ervoor te zorgen dat het account correct is beveiligd.
Adviesdetails
Met Azure AD Verbinding maken kunnen klanten adreslijstgegevens synchroniseren tussen hun on-premises AD en Azure AD. Voor Azure AD-Verbinding maken is het gebruik van een AD DS-gebruikersaccount vereist voor toegang tot de on-premises AD. Dit account wordt soms ook wel het AD DS-connectoraccount genoemd. Bij het instellen van Azure AD-Verbinding maken kan de installatiebeheerder het volgende doen:
- Geef een bestaand AD DS-account op of
- Laat Azure AD Verbinding maken het account automatisch maken. Het account wordt rechtstreeks gemaakt onder de on-premises AD-gebruikerscontainer.
Voor Azure AD-Verbinding maken om aan de functie te voldoen, moet het account specifieke machtigingen voor bevoorrechte directory's krijgen (zoals schrijfmachtigingen voor mapobjecten voor write-back van Hybride Exchange of DS-Replication-Get-Changes en DS-Replication-Get-Changes-All voor wachtwoord-hashsynchronisatie). Raadpleeg het artikel Azure AD Verbinding maken: Accounts en machtigingen voor meer informatie over het account.
Stel dat er een kwaadwillende on-premises AD-beheerder is met beperkte toegang tot de on-premises AD van de klant, maar de machtiging Wachtwoord opnieuw instellen heeft voor het AD DS-account. De kwaadwillende beheerder kan het wachtwoord van het AD DS-account opnieuw instellen op een bekende wachtwoordwaarde. Hierdoor kan de kwaadwillende beheerder onbevoegde, bevoegde toegang krijgen tot de on-premises AD van de klant.
Voorgestelde acties
Uw on-premises AD beheren volgens aanbevolen procedures
Microsoft raadt klanten aan hun on-premises AD te beheren volgens de aanbevolen procedures die worden beschreven in het artikel Active Directory beveiligen Beheer istratieve groepen en accounts. Waar mogelijk:
- Het gebruik van de groep Accountoperators moet worden vermeden, omdat leden van de groep standaard machtigingen voor het opnieuw instellen van wachtwoorden hebben voor objecten onder de container Gebruiker.
- Verplaats het AD DS-account dat wordt gebruikt door Azure AD-Verbinding maken en andere bevoegde accounts naar een organisatie-eenheid (organisatie-eenheid) die alleen toegankelijk is voor vertrouwde of beheerders met hoge bevoegdheden.
- Bij het delegeren van de machtiging Reset-Password aan specifieke gebruikers, moet u hun toegang beperken tot alleen gebruikersobjecten waarvoor ze moeten beheren. U wilt uw helpdeskbeheerder bijvoorbeeld het opnieuw instellen van wachtwoorden laten beheren voor gebruikers in een filiaal. Overweeg om de gebruikers in het filiaal onder een specifieke organisatie-eenheid te groeperen en de helpdeskbeheerder toestemming te geven voor die organisatie-eenheid in plaats van de gebruikerscontainer.
Toegang tot het AD DS-account vergrendelen
Vergrendel de toegang tot het AD DS-account door de volgende machtigingswijzigingen in de on-premises AD te implementeren:
- Overname van toegangsbeheerlijst uitschakelen voor het object.
- Verwijder alle standaardmachtigingen voor het object, met uitzondering van SELF.
- Implementeer deze machtigingen:
| Type | Naam | Access | Van toepassing op |
|---|---|---|---|
| Toestaan | SYSTEEM | Volledig beheer | Dit object |
| Toestaan | Enterprise Admins | Volledig beheer | Dit object |
| Toestaan | Domain Admins | Volledig beheer | Dit object |
| Toestaan | Beheerders | Volledig beheer | Dit object |
| Toestaan | Ondernemingsdomeincontrollers | Inhoud weergeven | Dit object |
| Toestaan | Ondernemingsdomeincontrollers | Alle eigenschappen lezen | Dit object |
| Toestaan | Ondernemingsdomeincontrollers | Machtigingen lezen | Dit object |
| Toestaan | Geverifieerde gebruikers | Inhoud weergeven | Dit object |
| Toestaan | Geverifieerde gebruikers | Alle eigenschappen lezen | Dit object |
| Toestaan | Geverifieerde gebruikers | Machtigingen lezen | Dit object |
U kunt het PowerShell-script gebruiken dat beschikbaar is op Active Directory-forest en -domeinen voorbereiden voor Azure AD Verbinding maken Sync om u te helpen bij het implementeren van de machtigingswijzigingen voor het AD DS-account.
Verbetering van Azure AD-Verbinding maken
Ga als volgt te werk om te achterhalen of dit beveiligingsprobleem is gebruikt om inbreuk te maken op uw AAD Verbinding maken-configuratie:
- Controleer de laatste datum voor het opnieuw instellen van het wachtwoord van het serviceaccount.
- Onderzoek het gebeurtenislogboek voor die gebeurtenis voor wachtwoordherstel als u een onverwachte tijdstempel vindt.
Verbetering van Azure AD-Verbinding maken
Er is een verbetering toegevoegd aan Azure AD Verbinding maken versie 1.1.654.0 (en na) om ervoor te zorgen dat de aanbevolen machtigingswijzigingen die worden beschreven in de sectie Vergrendelingstoegang tot het AD DS-account automatisch worden toegepast wanneer Azure AD Verbinding maken het AD DS-account maakt:
- Bij het instellen van Azure AD-Verbinding maken kan de installatiebeheerder een bestaand AD DS-account opgeven of azure AD Verbinding maken het account automatisch laten maken. De machtigingswijzigingen worden automatisch toegepast op het AD DS-account dat is gemaakt door Azure AD Verbinding maken tijdens de installatie. Ze worden niet toegepast op een bestaand AD DS-account dat wordt geleverd door de installatiebeheerder.
- Voor klanten die een upgrade hebben uitgevoerd van een oudere versie van Azure AD Verbinding maken naar 1.1.654.0 (of later), worden de machtigingswijzigingen niet met terugwerkende kracht toegepast op bestaande AD DS-accounts die vóór de upgrade zijn gemaakt. Ze worden alleen toegepast op nieuwe AD DS-accounts die na de upgrade zijn gemaakt. Dit gebeurt wanneer u nieuwe AD-forests toevoegt die moeten worden gesynchroniseerd met Azure AD.
Overige informatie
Microsoft Active Protections Program (MAPP)
Om de beveiliging voor klanten te verbeteren, biedt Microsoft informatie over beveiligingsproblemen aan belangrijke beveiligingssoftwareproviders voorafgaand aan elke maandelijkse beveiligingsupdaterelease. Beveiligingssoftwareproviders kunnen deze beveiligingsinformatie vervolgens gebruiken om bijgewerkte beveiligingen te bieden aan klanten via hun beveiligingssoftware of -apparaten, zoals antivirussoftware, netwerkgebaseerde inbraakdetectiesystemen of systemen voor inbraakpreventie op basis van een host. Als u wilt bepalen of actieve beveiligingen beschikbaar zijn bij beveiligingssoftwareproviders, gaat u naar de actieve beveiligingswebsites van programmapartners, vermeld in MAPP-partners (Microsoft Active Protections Program).
Feedback
- U kunt feedback geven door het Microsoft Help- en ondersteuningsformulier, de klantenservice contact met ons op te geven.
Erkenningen
Microsoft bedankt voor het werken met ons om klanten te beschermen:
- Roman Blachman en Yaron Zinar van Preempt
Ondersteuning
- Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning van Security Support ontvangen. Zie Microsoft Help en ondersteuning voor meer informatie.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Zie Internationale ondersteuning voor meer informatie.
- Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
Vrijwaring
De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (12 december 2017): Advies gepubliceerd.
- V1.1 (18 december 2017): Accountmachtigingen zijn bijgewerkt.
Pagina gegenereerd 2017-08-07 15:55-07:00.