Last updated
Από τα έγγραφα: Ο συγχρονισμός κατακερματισμένων κωδικών πρόσβασης (PHS) είναι ένας από τους τρόπους σύνδεσης που χρησιμοποιούνται για την επίτευξη υβριδικής ταυτότητας. Το Azure AD Connect συγχρονίζει ένα κατακερματισμένο κατακερματισμένο κωδικό πρόσβασης ενός χρήστη από μια τοπική περίπτωση του Active Directory σε μια περίπτωση του Azure AD που βρίσκεται στον νέφος.
Είναι η πιο κοινή μέθοδος που χρησιμοποιείται από τις εταιρείες για τον συγχρονισμό ενός τοπικού AD με το Azure AD.
Όλοι οι χρήστες και ένας κατακερματισμένος κατακερματισμένος κωδικός πρόσβασης συγχρονίζονται από τον τοπικό στον Azure AD. Ωστόσο, οι καθαροί κείμενοι κωδικοί πρόσβασης ή οι αρχικοί κατακερματισμένοι κωδικοί δεν αποστέλλονται στο Azure AD. Επιπλέον, οι ενσωματωμένες ομάδες ασφαλείας (όπως οι διαχειριστές τομέα...) δεν συγχρονίζονται με το Azure AD.
Ο συγχρονισμός των κατακερματισμένων κωδικών πρόσβασης πραγματοποιείται κάθε 2 λεπτά. Ωστόσο, από προεπιλογή, η λήξη κωδικού πρόσβασης και η λήξη λογαριασμού δεν συγχρονίζονται στο Azure AD. Έτσι, ένας χρήστης του οποίου ο κωδικός πρόσβασης τοπικού AD έχει λήξει (χωρίς να έχει αλλάξει) μπορεί να συνεχίσει να έχει πρόσβαση σε πόρους Azure χρησιμοποιώντας τον παλιό κωδικό πρόσβασης.
Όταν ένας χρήστης του τοπικού AD θέλει να έχει πρόσβαση σε έναν πόρο Azure, η πιστοποίηση πραγματοποιείται στο Azure AD.
Το PHS απαιτείται για λειτουργίες όπως η Προστασία Ταυτότητας και οι Υπηρεσίες Τομέα AAD.
Όταν ο PHS είναι διαμορφωμένος, ορισμένοι προνομιούχοι λογαριασμοί δημιουργούνται αυτόματα:
Ο λογαριασμός MSOL_<installationID> δημιουργείται αυτόματα στο τοπικό AD. Αυτός ο λογαριασμός αποκτά ρόλο Λογαριασμοί Συγχρονισμού Καταλόγου (δείτε την τεκμηρίωση) που σημαίνει ότι έχει δικαιώματα αναπαραγωγής (DCSync) στο τοπικό AD.
Ένας λογαριασμός Sync_<όνομα του διακομιστή ADConnect του τοπικού AD>_installationID δημιουργείται στο Azure AD. Αυτός ο λογαριασμός μπορεί να επαναφέρει τον κωδικό πρόσβασης οποιουδήποτε χρήστη (συγχρονισμένου ή μόνο στο νέφος) στο Azure AD.
Οι κωδικοί πρόσβασης των δύο προηγούμενων προνομιούχων λογαριασμών αποθηκεύονται σε έναν SQL server στον διακομιστή όπου είναι εγκατεστημένο το Azure AD Connect. Οι διαχειριστές μπορούν να εξάγουν τους κωδικούς πρόσβασης αυτών των προνομιούχων χρηστών σε καθαρό κείμενο.
Η βάση δεδομένων βρίσκεται στο C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf.
Είναι δυνατή η εξαγωγή της διαμόρφωσης από έναν από τους πίνακες, ένας από τους οποίους είναι κρυπτογραφημένος:
`SELECT private_configuration_xml,
Η κατάχρηση των MSOL_* αφορά την εκμετάλλευση των ευπαθειών που υπάρχουν στα συστήματα MSOL_* για να επιτευχθεί πρόσβαση ή εκτέλεση ανεπιθύμητων ενεργειών. Αυτό μπορεί να γίνει μέσω διάφορων τεχνικών, όπως:
Εκμετάλλευση ευπαθειών στο Azure AD Connect για να αποκτηθεί πρόσβαση σε λογαριασμούς χρηστών ή να εκτελεστούν ανεπιθύμητες ενέργειες.
Χρήση του MSOL_* για να προσπεράσει τις ασφαλείς διαδικασίες ελέγχου και να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες.
Εκμετάλλευση των ευπαθειών του MSOL_* για να προκαλέσει διαρροή πληροφοριών ή να προκαλέσει ζημιά στο σύστημα.
Είναι σημαντικό να γίνεται συχνή ενημέρωση και εφαρμογή των απαραίτητων μέτρων ασφαλείας για να αποτραπεί η κατάχρηση των MSOL_*.
Μπορείτε επίσης να χρησιμοποιήσετε το adconnectdump για να αποκτήσετε αυτές τις πιστοποιήσεις.
Με την κατάχρηση του λογαριασμού Sync_* είναι δυνατόν να επαναφέρετε τον κωδικό πρόσβασης οποιουδήποτε χρήστη (συμπεριλαμβανομένων των Γενικών Διαχειριστών)
Είναι επίσης δυνατό να τροποποιήσετε τους κωδικούς πρόσβασης μόνο για χρήστες του cloud (ακόμα κι αν αυτό είναι απροσδόκητο)
Είναι επίσης δυνατό να ανακτηθεί ο κωδικός πρόσβασης αυτού του χρήστη.
Μια άλλη επιλογή θα ήταν να αναθέσετε προνομιούχες άδειες σε έναν υπηρεσιακό πρωταγωνιστή, στον οποίο ο χρήστης Sync έχει δικαιώματα, και στη συνέχεια να αποκτήσετε πρόσβαση σε αυτόν τον υπηρεσιακό πρωταγωνιστή ως τρόπος προνομιούχου ανέλιξης.
Είναι δυνατή η χρήση της Απρόσκοπτης SSO με το PHS, το οποίο είναι ευάλωτο σε άλλες καταχρήσεις. Ελέγξτε το εδώ:
Az - Seamless SSO
