Az - PHS - Password Hash Sync
Last updated
Last updated
Van die dokumente: Wagwoordhassinkronisasie is een van die aanmeldingsmetodes wat gebruik word om hibriede identiteit te bereik. Azure AD Connect sinkroniseer 'n hassinkronisasie, van die hassinkronisasie, van 'n gebruiker se wagwoord van 'n plaaslike Active Directory-instantie na 'n wolkgebaseerde Azure AD-instantie.
Dit is die mees algemene metode wat deur maatskappye gebruik word om 'n plaaslike AD met Azure AD te sinkroniseer.
Alle gebruikers en 'n hassinkronisasie van die wagwoordhassies word gesinkroniseer vanaf die plaaslike na Azure AD. Tog word klarteks-wagwoorde of die oorspronklike hassies nie na Azure AD gestuur nie. Verder word Ingeboude sekuriteitsgroepe (soos domeinadministrateurs...) nie gesinkroniseer na Azure AD nie.
Die hassinkronisasie vind elke 2 minute plaas. Tog word standaard wagwoordverval en rekeningverval nie gesinkroniseer in Azure AD nie. Dus kan 'n gebruiker wie se plaaslike wagwoord verval het (nie verander nie) voortgaan om Azure-hulpbronne te benader met die ou wagwoord.
Wanneer 'n plaaslike gebruiker 'n Azure-hulpbron wil benader, vind die verifikasie plaas op Azure AD.
PHS is nodig vir funksies soos Identiteitsbeskerming en AAD-domeindienste.
Wanneer PHS gekonfigureer is, word sommige bevoorregte rekeninge outomaties geskep:
Die rekening MSOL_<installationID>
word outomaties geskep in die plaaslike AD. Hierdie rekening kry 'n Directory Synchronization Accounts-rol (sien dokumentasie) wat beteken dat dit replikasie (DCSync)-regte in die plaaslike AD het.
'n rekening Sync_<naam van plaaslike ADConnect-bediener>_installationID
word geskep in Azure AD. Hierdie rekening kan die wagwoord van ENIGE gebruiker (gesinkroniseer of slegs wolk) in Azure AD herstel.
Die wagwoorde van die twee vorige bevoorregte rekeninge word gestoor in 'n SQL-bediener op die bediener waar Azure AD Connect geïnstalleer is. Admins kan die wagwoorde van daardie bevoorregte gebruikers in klarteks onttrek.
Die databasis is geleë in C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf
.
Dit is moontlik om die konfigurasie uit een van die tabelle te onttrek, waarvan een versleutel is:
SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;
Die versleutelde konfigurasie is versleutel met DPAPI en dit bevat die wagwoorde van die MSOL_*
-gebruiker in die plaaslike AD en die wagwoord van Sync_* in AzureAD. Daarom, deur hierdie te kompromiteer, is dit moontlik om te privesc na die AD en na AzureAD.
Jy kan 'n volledige oorsig van hoe hierdie geloofsbriewe gestoor en ontsluit word in hierdie geselskap vind.
As die bediener waarop Azure AD Connect geïnstalleer is domein saamgevoeg is (aanbeveel in die dokumente), is dit moontlik om dit te vind met:
Jy kan ook adconnectdump gebruik om hierdie geloofsbriewe te verkry.
Deur die Sync_*
-rekening te kompromiteer, is dit moontlik om die wagwoord van enige gebruiker (insluitend Globale Administrateurs) te herstel.
Dit is ook moontlik om die wagwoorde van slegs wolkkas gebruikers te wysig (selfs al is dit onverwags).
Dit is ook moontlik om die wagwoord van hierdie gebruiker te dump.
'n Ander opsie sou wees om bevoorregte regte aan 'n diensprinsipaal toe te ken, wat die Sync-gebruiker die regte het om te doen, en dan daardie diensprinsipaal te toegang as 'n manier van privesc.
Dit is moontlik om Naadloos SSO met PHS te gebruik, wat vatbaar is vir ander misbruik. Kontroleer dit in: