Comunicado de Segurança da Microsoft 4056318

Orientação para proteger a conta do AD DS usada pelo Azure AD Connect para sincronização de diretório

Publicado em: 12 de dezembro de 2017

Versão: 1.0

A Microsoft está lançando este comunicado de segurança para fornecer informações sobre configurações de segurança para a conta do AD DS (Active Directory Domain Services) usada pelo Azure AD Connect para sincronização de diretório. Este comunicado também fornece orientação sobre o que os administradores do AD local podem fazer para garantir que a conta esteja corretamente protegida.

O Azure AD Connect permite que os clientes sincronizem dados de diretório entre o AD local e o Azure AD. O Azure AD Connect requer o uso de uma conta de usuário do AD DS para acessar o AD local. Essa conta às vezes é chamada de conta conectora do AD DS. Ao configurar o Azure AD Connect, o administrador de instalação pode:

  • Fornecer uma conta do AD DS existente ou
  • Permita ao Azure AD Connect criar automaticamente a conta. A conta será criada diretamente no contêiner de usuários do AD local. Para o Azure AD Connect cumprir sua função, a conta deve receber permissões de diretório privilegiadas específicas (como permissões de Gravação em objetos de diretório para write-back do Exchange Híbrido ou DS-Replication-Get-Changes e DS-Replication-Get-Changes-All para Sincronização de Hash de Senha). Para saber mais sobre a conta, consulte o artigo Azure AD Connect: Conta e permissões.

Suponha que exista um administrador do AD local mal-intencionado com acesso limitado ao AD local do cliente, mas com permissão para Redefinir Senha na conta do AD DS. O administrador mal-intencionado pode redefinir a senha da conta do AD DS para um valor de senha conhecido. Por sua vez, isso permite que o administrador mal-intencionado obtenha acesso privilegiado não autorizado ao AD local do cliente.

Gerencie seu AD local seguindo práticas recomendadas

A Microsoft recomenda que os clientes gerenciem seus ADs locais, seguindo as melhores práticas descritas no artigo Protegendo contas e grupos administrativos do Active Directory. Quando possível:

  • O uso do grupo Operadores de Conta deve ser evitado, pois os membros do grupo, por padrão, têm permissões para Redefinir Senha em objetos no contêiner de Usuário.
  • Mova a conta do AD DS usada pelo Azure AD Connect e outras contas privilegiadas para uma OU (Unidade Organizacional) que só possa ser acessada por administradores confiáveis ou altamente privilegiados.
  • Ao delegar a permissão Redefinir Senha para usuários específicos, definir seu escopo de acesso a apenas objetos de usuário que eles devem gerenciar. Por exemplo, você deseja que o administrador de assistência técnica gerencie a redefinição de senhas para usuários em uma filial. Considere agrupar os usuários na filial em uma OU específica e conceder ao administrador de assistência técnica a permissão para Redefinir Senha nessa OU em vez de no contêiner de Usuários.

Bloquear o acesso à conta do AD DS 

Bloqueie o acesso à conta do AD DS implementando as seguintes alterações de permissão no AD local:

  • Desabilite a herança de Lista de Controle de Acesso no objeto.
  • Remova todas as permissões padrão no objeto, exceto para SELF.
  • Implemente essas permissões: 

Tipo

Nome

Acesso

Aplicável a

Permitir

SISTEMA

Controle total

Este objeto

Permitir

Admins corporativos

Controle total

Este objeto

Permitir

Admins de domínio

Controle total

Este objeto

Permitir

Administradores

Controle total

Este objeto

Permitir

Usuários autenticados

Listar conteúdo

Ler todas as propriedades

Permissão de leitura

Este objeto

Você pode usar o script do PowerShell disponível aqui Prepare Active Directory Forest and Domains for Azure AD Connect Sync para ajudá-lo a implementar as alterações de permissão na conta do AD DS.

Melhoria no Azure AD Connect

Uma melhoria foi adicionada ao Azure AD Connect versão 1.1.654.0 (e posterior) para garantir que as alterações de permissão recomendadas descritas na seção sejam aplicadas automaticamente quando o Azure AD Connect criar a conta do AD DS:

  • Ao configurar o Azure AD Connect, o administrador de instalação pode fornecer uma conta do AD DS existente ou permitir que o Azure AD Connect crie automaticamente essa conta. As alterações de permissão são aplicadas automaticamente à conta do AD DS criada pelo Azure AD Connect durante a instalação. Elas não são aplicadas à conta do AD DS existente fornecida pelo administrador de instalação.
  • Para clientes que atualizaram de uma versão antiga do Azure AD Connect para a versão 1.1.654.0 (ou posterior), as alterações de permissão não serão aplicadas retroativamente às contas do AD DS existentes criadas antes da atualização. Elas só serão aplicadas a novas contas do AD DS criadas após a atualização. Isso ocorre quando você está adicionando novas florestas do AD para serem sincronizadas com o AD Azure.

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (12 de dezembro 2017): Comunicado publicado.
Página gerada em 2017-12-07 10:34-08:00.
Mostrar: