15.12.2017

AADConnect: Potenzielle Sicherheitsgefahr erfordert Handeln

Microsoft hat ein neues Release des Synchronisationstools Azure ADConnect (AADConnect, früher AADSync) herausgebracht. Dabei weist der Hersteller darauf hin, dass eine potenzielle Sicherheitslücke nicht direkt von der neuen AADConnect-Version gepatcht werden kann, sondern eine Aktion erforderlich ist, um diese zu schließen.

Die Lücke betrifft die Situation, dass jeder Domänenadministrator durch Zurücksetzen des Kennworts des Sync-Accounts Zugriff auf das Active Directory erhält, das der Sync-Account synchronisiert.

Betroffen sind Sie also nur dann, wenn der Sync-Account in einem anderen AD liegt als das zu synchronisierende AD und Sie die Gefahr sehen, dass ein AD-Admin des Sync-Account-ADs sich Zugriff auf das zu synchronisierende AD erschleichen könnte.

Die neue Version passt die Zugriffsberechtigungen auf den Sync-Account entsprechend an, allerdings nur für neu erstellte Accounts. Bestehende Accounts werden nicht automatisch angepasst.

Wenn Sie den Best Practices folgen wollen, dann können Sie sich dieses PowerShell-Skript zunutze machen, um die Berechtigungen anzupassen:

https://gallery.technet.microsoft.com/Prepare-Active-Directory-ef20d978

Gerne können wir Sie dabei unterstützen.

Weitere Informationen von Microsoft finden Sie hier:

https://docs.microsoft.com/en-us/security-updates/securityadvisories/2017/4056318

Sebastian Reitter
Senior Consultant

Unsere Blogs