マイクロソフト セキュリティ アドバイザリ 4056318

Azure AD Connect がディレクトリ同期を実施する際に使用する AD DS アカウントをセキュリティで保護するためのガイダンス

公開日: 2017 年 12 月 13 日 | 最終更新日: 2017 年 12 月 19 日

バージョン: 1.1

マイクロソフトは、Azure AD Connect がディレクトリ同期を実施する際に使用する AD DS (Active Directory Domain Services) アカウントのセキュリティ設定に関する情報を提供するために、このセキュリティ アドバイザリを公開しました。また、このアドバイザリでは、アカウントのセキュリティを適切に保護するためにオンプレミス AD 管理者ができることについてのガイダンスも提供しています。

Azure AD Connect を使用すると、オンプレミス AD と Azure AD 間のディレクトリ データを同期することができます。Azure AD Connect がオンプレミス AD にアクセスするためには、AD DS ユーザー アカウントを使用する必要があります。このアカウントは、AD DS コネクタ アカウントとも呼ばれます。インストールを実行する管理者は、Azure AD Connect を設定するときに以下のいずれかを選択できます。

  • 既存の AD DS アカウントを入力する。
  • Azure AD Connect で自動的にアカウントを作成する。このアカウントは、オンプレミスの AD ユーザー コンテナーの直下に作成されます。

Azure AD Connect でこの機能を実行する場合、アカウントに特定の特権を持つディレクトリ アクセス許可を付与する必要があります (Exchange ハイブリッド環境での書き戻しのためのディレクトリ オブジェクトに対する書き込みアクセス許可、パスワード ハッシュ同期のための DS-Replication-Get-Changes と DS-Replication-Get-Changes-All など)。アカウントの詳細については、Azure AD Connect: アカウントとアクセス許可を参照してください。

お客様のオンプレミスの AD に対して制限されたアクセス権を持つ悪意のあるオンプレミスの AD 管理者がいて、AD DS アカウントに対してパスワード リセットのアクセス許可を持っているとします。この悪意のある管理者は、AD DS アカウントのパスワードを既知のパスワード値にリセットすることができます。その結果、悪意のある管理者がお客様のオンプレミス AD に対する特権アクセスを不正に取得する可能性があります。

ベスト プラクティスに従ってオンプレミス AD を管理する

マイクロソフトは、「Securing Active Directory Administrative Groups and Accounts」(英語情報) に記載されているベスト プラクティスに従って、オンプレミス AD を管理することをお勧めします。可能な限り、以下の方法をお勧めします。

  • Account Operators グループは使用しないでください。このグループのメンバーには、ユーザー コンテナー配下のオブジェクトに対してパスワード リセットのアクセス許可が既定で付与されます。
  • Azure AD Connect が使用する AD DS アカウントと他の特権を持つアカウントを、信頼できる管理者、または高い特権を持つ管理者のみがアクセスできる OU (組織単位) に移動します。
  • パスワード リセットのアクセス許可を特定のユーザーに委任するときは、管理対象のユーザー オブジェクトのみにアクセス権の範囲を制限します。たとえば、ヘルプデスク管理者が支社のユーザーのパスワード リセットを管理できるようにするには、支社のユーザーを特定の OU 以下にグループ化し、ユーザー コンテナーではなく、その OU に対するパスワード リセットのアクセス許可をヘルプデスク管理者に付与します。

AD DS アカウントへのアクセスをロック ダウンする 

オンプレミスの AD に以下のアクセス許可の変更を実装することで、AD DS アカウントへのアクセスをロック ダウンします。

  • オブジェクトのアクセス制御リストの継承を無効にします。
  • オブジェクトに対する既定のアクセス許可 (SELF 以外) をすべて削除します。
  • 以下のアクセス許可を実装します。 

種類

名前

アクセス権

適用対象

許可

SYSTEM

フル コントロール

このオブジェクト

許可

Enterprise Admins

フル コントロール

このオブジェクト

許可

Domain Admins

フル コントロール

このオブジェクト

許可

Administrators

フル コントロール

このオブジェクト

許可

Enterprise Domain Controllers

内容の一覧表示

このオブジェクト

許可

Enterprise Domain Controllers

すべてのプロパティの読み取り

このオブジェクト

許可

Enterprise Domain Controllers

アクセス許可の読み取り

このオブジェクト

許可

Authenticated Users

内容の一覧表示

このオブジェクト

許可

Authenticated Users

すべてのプロパティの読み取り

このオブジェクト

許可

Authenticated Users

アクセス許可の読み取り

このオブジェクト

Prepare Active Directory Forest and Domains for Azure AD Connect Sync で入手できる PowerShell スクリプトを使用して、AD DS アカウントにアクセス許可の変更を実装できます。

検証とフォローアップの実行

Azure AD Connect の設定が、この脆弱性によって侵害されたかどうかを確認するためには、以下を実行してください。

  • サービス アカウントのパスワードが最後にリセットされた日時を検証する。
  • 予期しないタイムスタンプを発見した場合、そのパスワード リセットのイベント ログを調査する。

Azure AD Connect の改善点

Azure AD Connect version 1.1.654.0 (以降) では改善が加えられ、Azure AD Connect で AD DS アカウントの作成時に「AD DS アカウントへのアクセスをロック ダウンする」のセクションで説明されている推奨のアクセス許可の変更が自動的に適用されるようになりました。

  • Azure AD Connect を設定するときに、インストールを実行する管理者は、既存の AD DS アカウントを入力するか、Azure AD Connect でアカウントを自動的に作成することができます。アクセス許可の変更は、設定時に Azure AD Connect で作成される AD DS アカウントに自動的に適用されます。インストールを実行する管理者が入力した既存の AD DS アカウントには適用されません。
  • 以前のバージョンの Azure AD Connect から 1.1.654.0 (以降) にアップグレードした場合、アクセス許可の変更は、アップグレード前に作成された既存の AD DS アカウントに対しては適用されません。アップグレード後に作成された新しい AD DS アカウントにのみ適用されます。この適用は、Azure AD と同期される新しい AD フォレストを追加するときに行われます。

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

フィードバック

謝辞

顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い謝意を表します。

  • Preempt の Roman Blachman 氏 および Yaron Zinar 氏

サポート

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2017/12/13): このアドバイザリを公開しました。
  • V1.1 (2017/12/19): アカウントへのアクセス許可の情報を更新しました。
Page generated 2017-12-15 15:03Z-08:00.
表示: