Az - PTA - Pass-through Authentication
Last updated
Last updated
Van die dokumente: Azure Active Directory (Azure AD) Pass-through Authentication stel jou gebruikers in staat om aan te meld by beide aanlokale en wolkgebaseerde toepassings met dieselfde wagwoorde. Hierdie kenmerk bied jou gebruikers 'n beter ervaring - een minder wagwoord om te onthou, en verminder IT-helpdesk-koste omdat jou gebruikers minder geneig is om te vergeet hoe om aan te meld. Wanneer gebruikers aanmeld met Azure AD, valideer hierdie kenmerk gebruikers se wagwoorde direk teen jou aanlokale Active Directory.
In PTA word identiteite gesinkroniseer maar wagwoorde nie soos in PHS.
Die verifikasie word gevalideer in die aanlokale AD en die kommunikasie met die wolk word gedoen deur 'n verifikasie-agent wat op 'n aanlokale bediener hardloop (dit hoef nie op die aanlokale DC te wees nie).
Om aan te meld word die gebruiker na Azure AD omgelei, waar hy die gebruikersnaam en wagwoord stuur
Die gelde word geënkripteer en in 'n ry in Azure AD geplaas
Die aanlokale verifikasie-agent versamel die gelde uit die ry en dekripteer dit. Hierdie agent word genoem "Deurloop-verifikasie-agent" of PTA-agent.
Die agent valideer die gelde teen die aanlokale AD en stuur die antwoord terug na Azure AD wat, as die antwoord positief is, die aanmelding van die gebruiker voltooi.
As 'n aanvaller die PTA kompromitteer, kan hy al die gelde uit die ry sien (in teksvorm). Hy kan ook enige gelde valideer na die AzureAD (soortgelyke aanval as Skeleton-sleutel).
As jy administratiewe toegang het tot die Azure AD Connect-bedieners met die PTA agent wat hardloop, kan jy die AADInternals-module gebruik om 'n agterdeur in te voeg wat ALLE die wagwoorde wat ingevoer is, sal valideer (sodat alle wagwoorde geldig sal wees vir verifikasie):
Indien die installasie misluk, is dit waarskynlik as gevolg van ontbrekende Microsoft Visual C++ 2015 Redistributables.
Dit is ook moontlik om die duidelike-teks wagwoorde wat na die PTA-agent gestuur is te sien deur die volgende cmdlet op die masjien waar die vorige agterdeur geïnstalleer is, te gebruik:
Hierdie agterdeur sal:
Skep 'n verborge vouer C:\PTASpy
Kopieer 'n PTASpy.dll
na C:\PTASpy
Inject PTASpy.dll
na die AzureADConnectAuthenticationAgentService
proses
Wanneer die AzureADConnectAuthenticationAgent-diens heraangestel word, word PTASpy "ontlaai" en moet dit weer geïnstalleer word.
Nadat GA-voorregte op die wolk verkry is, is dit moontlik om 'n nuwe PTA-agent te registreer deur dit op 'n aanvallerbeheerde masjien in te stel. Sodra die agent opgestel is, kan ons die vorige stappe herhaal om te verifieer met enige wagwoord en ook, die wagwoorde in te sien in die teks.
Dit is moontlik om Naadlose SSO met PTA te gebruik, wat vatbaar is vir ander misbruik. Kontroleer dit in:
Az - Seamless SSO