企业官网建设流程全解析

如何免费建个人网站,aqq网站开发,陕西省水利厅网站建设与管理处,厦门市同安区建设局官方网站执行摘要 微软发布此安全公告#xff0c;旨在提供有关用于Azure AD Connect目录同步的AD DS#xff08;Active Directory域服务#xff09;账户安全设置的信息。本公告还为本地AD管理员提供了指导#xff0c;以确保该账户得到适当保护。 公告详情 Azure AD Connect允许客…执行摘要微软发布此安全公告旨在提供有关用于Azure AD Connect目录同步的AD DSActive Directory域服务账户安全设置的信息。本公告还为本地AD管理员提供了指导以确保该账户得到适当保护。公告详情Azure AD Connect允许客户在其本地AD和Azure AD之间同步目录数据。Azure AD Connect需要使用一个AD DS用户账户来访问本地AD。此账户有时被称为AD DS连接器账户。设置Azure AD Connect时安装管理员可以提供一个现有的AD DS账户或者让Azure AD Connect自动创建账户。该账户将直接在本地AD用户容器下创建。为了使Azure AD Connect履行其功能必须授予该账户特定的特权目录权限例如用于混合Exchange回写的目录对象写入权限或用于密码哈希同步的DS-Replication-Get-Changes和DS-Replication-Get-Changes-All权限。要了解更多关于该账户的信息请参阅文章Azure AD Connect账户和权限。假设存在一个对客户本地AD具有有限访问权限但拥有AD DS账户重置密码权限的恶意本地AD管理员。该恶意管理员可以将AD DS账户的密码重置为已知的密码值。这反过来又使恶意管理员能够未经授权地获得对客户本地AD的特权访问。建议措施遵循最佳实践管理本地AD微软建议客户按照文章保护Active Directory管理组和账户中描述的最佳实践来管理其本地AD。在可能的情况下应避免使用账户操作员组因为该组的成员默认对用户容器下的对象拥有重置密码权限。将Azure AD Connect使用的AD DS账户和其他特权账户移动到一个仅由受信任的或高特权管理员访问的组织单位中。当将重置密码权限委派给特定用户时将其访问范围限定为他们应该管理的用户对象。例如您希望让您的服务台管理员管理分支机构用户密码重置。考虑将分支机构的用户分组到一个特定的OU下并授予服务台管理员对该OU而非用户容器的重置密码权限。锁定对AD DS账户的访问通过在本地AD中实施以下权限更改来锁定对AD DS账户的访问禁用对象上的访问控制列表继承。删除对象上除SELF之外的所有默认权限。实施以下权限类型名称访问权限应用于允许SYSTEM完全控制此对象允许企业管理员完全控制此对象允许域管理员完全控制此对象允许管理员完全控制此对象允许企业域控制器列出内容此对象允许企业域控制器读取所有属性此对象允许企业域控制器读取权限此对象允许已验证的用户列出内容此对象允许已验证的用户读取所有属性此对象允许已验证的用户读取权限此对象您可以使用在为Azure AD Connect同步准备Active Directory林和域中提供的PowerShell脚本来帮助您在AD DS账户上实施权限更改。对Azure AD Connect的改进为了查明此漏洞是否被利用来破坏您的AADConnect配置请执行以下操作验证服务账户的最后一次密码重置日期。如果您发现意外的时间戳请调查该密码重置事件的事件日志。对Azure AD Connect的改进Azure AD Connect版本1.1.654.0及之后版本已添加一项改进以确保在Azure AD Connect创建AD DS账户时自动应用“锁定对AD DS账户的访问”部分中描述的推荐权限更改设置Azure AD Connect时安装管理员可以提供现有的AD DS账户或者让Azure AD Connect自动创建账户。这些权限更改会自动应用于Azure AD Connect在设置期间创建的AD DS账户。它们不会应用于安装管理员提供的现有AD DS账户。对于从旧版Azure AD Connect升级到1.1.654.0或之后版本的客户权限更改不会追溯应用于升级前创建的现有AD DS账户。它们仅会应用于升级后创建的新AD DS账户。当您添加要同步到Azure AD的新AD林时会发生这种情况。其他信息Microsoft主动保护计划 (MAPP)为了改善客户的安全保护微软在每个月的安全更新发布之前会向主要的安全软件提供商提供漏洞信息。然后安全软件提供商可以使用此漏洞信息通过其安全软件或设备例如防病毒软件、基于网络的入侵检测系统或基于主机的入侵防御系统向客户提供更新的保护。要确定安全软件提供商是否提供了主动保护请访问计划合作伙伴提供的主动保护网站这些网站列在Microsoft主动保护计划 (MAPP) 合作伙伴中。反馈您可以通过填写Microsoft帮助和支持表单、客户服务联系我们来提供反馈。致谢微软感谢以下人员与我们合作帮助保护客户Preempt的Roman Blachman和Yaron Zinar支持美国和加拿大的客户可以从安全支持获得技术支持。有关详细信息请参阅Microsoft帮助和支持。国际客户可以从当地的微软子公司获得支持。有关详细信息请参阅国际支持。Microsoft TechNet安全提供有关Microsoft产品中安全的更多信息。免责声明本公告中提供的信息“按原样”提供不提供任何形式的担保。Microsoft否认所有明示或暗示的担保包括适销性和特定用途适用性的担保。在任何情况下Microsoft Corporation或其供应商都不对任何损害承担任何责任包括直接的、间接的、偶然的、后果性的、商业利润损失或特殊损害即使Microsoft Corporation或其供应商已被告知此类损害的可能性。有些州不允许排除或限制对附带或间接损害的责任因此上述限制可能不适用。修订历史V1.02017年12月12日公告发布。V1.12017年12月18日更新了账户权限信息。页面生成于 2017-08-07 15:55-07:00。Eoonk2RzuAvQ3tlOHpOQt8SzijniPN40eNBGgsmmGf6GaqA9AZN0GoJRjklzlfALZajSe7UFVEns/3QVfCImw更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享