Az - PTA - Pass-through Authentication
Last updated
Last updated
Από τα έγγραφα: Το Azure Active Directory (Azure AD) Pass-through Authentication επιτρέπει στους χρήστες σας να συνδεθούν τόσο σε εφαρμογές εγκατεστημένες στον τοπικό υπολογιστή όσο και σε εφαρμογές βασισμένες στο cloud χρησιμοποιώντας τους ίδιους κωδικούς πρόσβασης. Αυτή η δυνατότητα παρέχει στους χρήστες σας μια καλύτερη εμπειρία - έναν λιγότερο κωδικό πρόσβασης που πρέπει να θυμούνται και μειώνει το κόστος της τεχνικής υποστήριξης του IT, καθώς οι χρήστες σας είναι λιγότερο πιθανό να ξεχάσουν πώς να συνδεθούν. Όταν οι χρήστες συνδέονται χρησιμοποιώντας το Azure AD, αυτή η δυνατότητα επικυρώνει τους κωδικούς πρόσβασης των χρηστών απευθείας έναντι του τοπικού ενεργού καταλόγου.
Στο PTA, οι ταυτότητες συγχρονίζονται, αλλά οι κωδικοί πρόσβασης όχι, όπως στο PHS.
Η επαλήθευση γίνεται στον τοπικό AD και η επικοινωνία με το cloud γίνεται από έναν πράκτορα επαλήθευσης που εκτελείται σε έναν διακομιστή τοπικού υπολογιστή (δεν χρειάζεται να βρίσκεται στον τοπικό ενεργό κατάλογο).
Για να συνδεθεί ο χρήστης ανακατευθύνεται στο Azure AD, όπου αποστέλλει το όνομα χρήστη και το κωδικό πρόσβασης
Τα διαπιστευτήρια κρυπτογραφούνται και τοποθετούνται σε μια ουρά στο Azure AD
Ο πράκτορας επαλήθευσης του τοπικού υπολογιστή συλλέγει τα διαπιστευτήρια από την ουρά και τα αποκρυπτογραφεί. Αυτός ο πράκτορας ονομάζεται "πράκτορας πέρασματος ταυτότητας" ή πράκτορας PTA.
Ο πράκτορας επαληθεύει τα διαπιστευτήρια έναντι του τοπικού AD και στέλνει την απάντηση πίσω στο Azure AD, το οποίο, εάν η απάντηση είναι θετική, ολοκληρώνει τη σύνδεση του χρήστη.
Εάν ένας επιτιθέμενος διαρρεύσει τον PTA, μπορεί να δει όλα τα διαπιστευτήρια από την ουρά (σε καθαρό κείμενο). Μπορεί επίσης να επαληθεύσει οποιαδήποτε διαπιστευτήρια στο AzureAD (παρόμοια επίθεση με το Skeleton key).
Εάν έχετε πρόσβαση διαχειριστή στον διακομιστή Azure AD Connect με τον πράκτορα PTA που εκτελείται, μπορείτε να χρησιμοποιήσετε το module AADInternals για να εισαγάγετε μια πίσω πόρτα που θα επαληθεύει ΟΛΟΥΣ τους κωδικούς πρόσβασης που εισάγονται (έτσι όλοι οι κωδικοί πρόσβασης θα είναι έγκυροι για την επαλήθευση):
Εάν η εγκατάσταση αποτύχει, αυτό πιθανότατα οφείλεται στην απουσία των Microsoft Visual C++ 2015 Redistributables.
Είναι επίσης δυνατόν να δείτε τους καθαρούς κειμενικούς κωδικούς που αποστέλλονται στον πράκτορα PTA χρησιμοποιώντας την ακόλουθη εντολή στον υπολογιστή όπου έχει εγκατασταθεί η προηγούμενη παρασκηνιακή πύλη:
Αυτή η πίσω πόρτα θα:
Δημιουργήσει έναν κρυφό φάκελο C:\PTASpy
Αντιγράψει ένα PTASpy.dll
στο C:\PTASpy
Εισχωρεί το PTASpy.dll
στη διεργασία AzureADConnectAuthenticationAgentService
Όταν η υπηρεσία AzureADConnectAuthenticationAgent επανεκκινείται, το PTASpy "εκφορτώνεται" και πρέπει να επανεγκατασταθεί.
Αφού αποκτηθούν προνόμια GA στο cloud, είναι δυνατόν να καταχωρηθεί ένας νέος πράκτορας PTA ορίζοντάς τον σε μια μηχανή που ελέγχεται από τον επιτιθέμενο. Αφού ο πράκτορας είναι εγκατεστημένος, μπορούμε να επαναλάβουμε τα προηγούμενα βήματα για να πιστοποιηθούμε χρησιμοποιώντας οποιοδήποτε κωδικό πρόσβασης και επίσης, να λάβουμε τους κωδικούς πρόσβασης σε καθαρό κείμενο.
Είναι δυνατόν να χρησιμοποιηθεί το Seamless SSO με το PTA, το οποίο είναι ευάλωτο σε άλλες καταχρήσεις. Ελέγξτε το στο:
Az - Seamless SSO