Comunicado de Segurança da Microsoft 4056318
Orientação para proteger a conta do AD DS usada pelo Azure AD Connect para sincronização de diretórios
Publicado em: 12 de dezembro de 2017
Versão: 1.1
Resumo executivo
A Microsoft está lançando este comunicado de segurança para fornecer informações sobre configurações de segurança para a conta do AD DS (Serviços de Domínio Active Directory) usada pelo Azure AD Connect para sincronização de diretórios. Este comunicado também fornece orientação sobre o que os administradores locais do AD podem fazer para garantir que a conta esteja devidamente protegida.
Detalhes do Comunicado
O Azure AD Connect permite que os clientes sincronizem dados de diretório entre o AD local e o Azure AD. O Azure AD Connect requer o uso de uma conta de usuário do AD DS para acessar o AD local. Às vezes, essa conta é chamada de conta do conector do AD DS. Ao configurar o Azure AD Connect, o administrador de instalação pode:
- Fornecer uma conta do AD DS existente ou
- Permita que o Azure AD Connect crie automaticamente a conta. A conta será criada diretamente no contêiner Usuário do AD local.
Para que o Azure AD Connect cumpra sua função, a conta deve receber permissões de diretório privilegiadas específicas (como permissões de gravação para objetos de diretório para write-back do Exchange híbrido ou DS-Replication-Get-Changes e DS-Replication-Get-Changes-All para sincronização de hash de senha). Para saber mais sobre a conta, consulte o artigo Azure AD Connect: contas e permissões.
Suponha que haja um administrador do AD local mal-intencionado com acesso limitado ao AD local do cliente, mas tenha permissão Redefinir Senha para a conta do AD DS. O administrador mal-intencionado pode redefinir a senha da conta do AD DS para um valor de senha conhecido. Isso, por sua vez, permite que o administrador mal-intencionado obtenha acesso privilegiado e não autorizado ao AD local do cliente.
Ações sugeridas
Gerencie seu AD local seguindo as práticas recomendadas
A Microsoft recomenda que os clientes gerenciem seu AD local seguindo as práticas recomendadas descritas no artigo Protegendo contas e grupos administrativos do Active Directory. Sempre que possível:
- O uso do grupo Operadores de Conta deve ser evitado, já que os membros do grupo por padrão têm permissões Reset-Password para objetos no contêiner Usuário.
- Mova a conta do AD DS usada pelo Azure AD Connect e outras contas privilegiadas para uma UO (Unidade Organizacional) acessível apenas por administradores confiáveis ou altamente privilegiados.
- Ao delegar a permissão Redefinir Senha a usuários específicos, defina o escopo de seu acesso apenas a objetos de usuário para os quais eles devem gerenciar. Por exemplo, você deseja permitir que o administrador do suporte técnico gerencie a redefinição de senha para usuários em uma filial. Considere agrupar os usuários na filial em uma UO específica e conceda ao administrador do suporte técnico a permissão Redefinir Senha para essa UO em vez do contêiner Usuário.
Bloquear o acesso à conta do AD DS
Bloqueie o acesso à conta do AD DS implementando as seguintes alterações de permissão no AD local:
- Desative a herança da Lista de Controle de Acesso no objeto.
- Remova todas as permissões padrão no objeto, exceto SELF.
- Implemente estas permissões:
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Allow | SYSTEM | Controle Total | Este objeto |
| Allow | Administradores Corporativos | Controle Total | Este objeto |
| Allow | Administradores de Domínio | Controle Total | Este objeto |
| Allow | Administradores | Controle Total | Este objeto |
| Allow | Controladores de Domínio Corporativo | Listar Conteúdo | Este objeto |
| Allow | Controladores de Domínio Corporativo | Ler Todas as Propriedades | Este objeto |
| Allow | Controladores de Domínio Corporativo | Permissões de Leitura | Este objeto |
| Allow | Usuários Autenticados | Listar Conteúdo | Este objeto |
| Allow | Usuários Autenticados | Ler Todas as Propriedades | Este objeto |
| Allow | Usuários Autenticados | Permissões de Leitura | Este objeto |
Você pode usar o script do PowerShell disponível em Preparar Floresta e Domínios do Active Directory para a Sincronização do Azure AD Connect para ajudá-lo a implementar as alterações de permissão na conta do AD DS.
Melhoria no Azure AD Connect
Para descobrir se essa vulnerabilidade foi usada para comprometer a configuração do AADConnect, faça o seguinte:
- Verifique a data da última redefinição de senha da conta de serviço.
- Investigue o log de eventos desse evento de redefinição de senha se encontrar um carimbo de data/hora inesperado.
Melhoria no Azure AD Connect
Uma melhoria foi adicionada ao Azure AD Connect versão 1.1.654.0 (e posterior) para garantir que as alterações de permissão recomendadas descritas na seção Bloquear o acesso à conta do AD DS sejam aplicadas automaticamente quando o Azure AD Connect cria a conta do AD DS:
- Ao configurar o Azure AD Connect, o administrador de instalação pode fornecer uma conta existente do AD DS ou permitir que o Azure AD Connect crie automaticamente a conta. As alterações de permissão são aplicadas automaticamente para a conta do AD DS criada pelo Azure AD Connect durante a instalação. Elas não são aplicadas à conta existente do AD DS fornecida pelo administrador de instalação.
- Para clientes que tenham feito um upgrade de uma versão anterior do Azure AD Connect para 1.1.654.0 (ou posterior), as alterações de permissão não serão retroativamente aplicadas às contas de AD DS existentes criadas antes da atualização. Elas serão aplicadas somente a novas contas do AD DS criadas após a atualização. Isso ocorre quando você estiver adicionando novas florestas do AD para ser sincronizada com o Azure AD.
Outras Informações
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Agradecimentos
A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:
- Roman Blachman e Yaron Zinar da Preempt
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (12 de dezembro de 2017): Comunicado publicado.
- V1.1 (18 de dezembro de 2017): Informações atualizadas sobre permissões de conta.
Página gerada em 07/08/2017 15:55-07:00.