Microsoft セキュリティ アドバイザリ 4056318

公開日: 2017 年 12 月 12 日

バージョン: 1.1

Microsoft では、ディレクトリ同期のために Azure AD Connect によって使用される AD DS (Active Directory ドメイン Services) アカウントのセキュリティ設定に関する情報を提供するために、このセキュリティ アドバイザリをリリースしています。 また、このアドバイザリでは、オンプレミスの AD 管理者がアカウントを適切にセキュリティで保護するためにできることに関するガイダンスも提供します。

Azure AD Connect を使用すると、オンプレミスの AD と Azure AD の間でディレクトリ データを同期できます。 Azure AD Connect では、オンプレミスの AD にアクセスするために AD DS ユーザー アカウントを使用する必要があります。 このアカウントは、AD DS コネクタ アカウントと呼ばれることもあります。 Azure AD Connect を設定する場合、インストール管理者は次のいずれかを実行できます。

• 既存の AD DS アカウントを指定するか、
• Azure AD Connect でアカウントを自動的に作成できるようにします。 アカウントは、オンプレミスの AD ユーザー コンテナーのすぐ下に作成されます。

Azure AD Connect がその機能を果たすには、アカウントに特定の特権ディレクトリアクセス許可 (Hybrid Exchange ライトバックのディレクトリ オブジェクトへの書き込みアクセス許可、パスワード ハッシュ同期の DS-Replication-Get-Changes、DS-Replication-Get-Changes-All など) が付与されている必要があります。 アカウントの詳細については、Azure AD Connect: アカウントとアクセス許可に関する記事を参照してください。

顧客のオンプレミス AD へのアクセスが制限されているが、AD DS アカウントに対するパスワードリセットアクセス許可を持つ悪意のあるオンプレミスの AD 管理者がいるとします。 悪意のある管理者は、AD DS アカウントのパスワードを既知のパスワード値にリセットできます。 これにより、悪意のある管理者は、お客様のオンプレミス AD に対する未承認の特権アクセスを取得できます。

ベスト プラクティスに従ってオンプレミス AD を管理する

Microsoft では、Active Directory 管理のグループとアカウントのセキュリティ保護に関する記事で説明されているベスト プラクティスに従って、オンプレミス AD を管理することをお勧めします。 可能な場合:

• 既定では、グループのメンバーにはユーザー コンテナーの下にあるオブジェクトに対する Reset-Password アクセス許可があるため、Account Operators グループの使用は避ける必要があります。
• Azure AD Connect やその他の特権アカウントで使用される AD DS アカウントを、信頼された管理者または高い特権を持つ管理者のみがアクセスできる OU (組織単位) に移動します。
• 特定のユーザーに Reset-Password アクセス許可を委任する場合は、管理するユーザー オブジェクトのみにアクセスのスコープを設定します。 たとえば、ヘルプデスク管理者がブランチ オフィスのユーザーのパスワード リセットを管理できるようにする場合です。 ブランチ オフィスのユーザーを特定の OU の下にグループ化し、ユーザー コンテナーではなく、その OU に対する Reset-Password アクセス許可をヘルプデスク管理者に付与することを検討してください。

AD DS アカウントへのアクセスをロックダウンする

オンプレミスの AD で次のアクセス許可の変更を実装して、AD DS アカウントへのアクセスをロックダウンします。

• オブジェクトのアクセス制御リストの継承を無効にします。
• Standard Edition LF を除き、オブジェクトに対するすべての既定のアクセス許可を削除します。
• 次のアクセス許可を実装します。

Azure AD Connect Sync の Active Directory フォレストの準備と Doメイン で使用できる PowerShell スクリプトを使用すると、AD DS アカウントにアクセス許可の変更を実装するのに役立ちます。

この脆弱性が AADConnect 構成を侵害するために使用されたかどうかを確認するには、次の操作を行います。

• サービス アカウントの最後のパスワード リセット日を確認します。
• 予期しないタイムスタンプが見つかる場合は、そのパスワード リセット イベントのイベント ログを調査します。

Azure AD Connect バージョン 1.1.654.0 (以降) に機能強化が追加され、「Azure AD Connect で AD DS アカウントを作成するときに AD DS アカウントへのアクセスをロックダウンする」セクションで説明されている推奨されるアクセス許可の変更が自動的に適用されるようにしました。

• Azure AD Connect をセットアップするときにインストールを実行する管理者は、既存の AD DS アカウントを指定するか、Azure AD Connect でアカウントを自動的に作成できます。 アクセス許可の変更は、セットアップ中に Azure AD Connect によって作成される AD DS アカウントに自動的に適用されます。 インストールを実行する管理者が指定した既存の AD DS アカウントには適用されません。
• 以前のバージョンの Azure AD Connect から 1.1.654.0 (またはそれ以降) にアップグレードしたお客様の場合、アクセス許可の変更は、アップグレードの前に作成された既存の AD DS アカウントにさかのぼって適用されません。 アップグレード後に作成された新しい AD DS アカウントにのみ適用されます。 これは、Azure AD に同期する新しい AD フォレストを追加するときに行われます。

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。

• Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。

• ローマのブラフマンとプリエンプトの ヤロン・ジナー

• 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
• 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
• Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

• V1.0 (2017 年 12 月 12 日): アドバイザリが公開されました。
• V1.1 (2017 年 12 月 18 日): アカウントのアクセス許可情報を更新しました。

Page generated 2017-08-07 15:55-07:00.