Az - PHS - Password Hash Sync
Last updated
Last updated
Belgelerden alınan bilgilere göre: Parola hash senkronizasyonu, hibrit kimlik sağlamak için kullanılan giriş yöntemlerinden biridir. Azure AD Connect, bir kullanıcının parolasının on-premises Active Directory örneğinden buluta dayalı bir Azure AD örneğine olan parola hash'inin senkronizasyonunu gerçekleştirir.
Bu, şirketlerin on-prem AD'yi Azure AD ile senkronize etmek için kullandığı en yaygın yöntemdir.
Tüm kullanıcılar ve parola hash'lerinin hash'leri, on-prem'den Azure AD'ye senkronize edilir. Bununla birlikte, açık metin parolaları veya orijinal hash'ler Azure AD'ye gönderilmez. Ayrıca, dahili güvenlik grupları (örneğin, etki alanı yöneticileri...) Azure AD'ye senkronize edilmez.
Hash senkronizasyonu, her 2 dakikada bir gerçekleşir. Bununla birlikte, varsayılan olarak, Azure AD'de parola süresi dolma ve hesap süresi dolma senkronize edilmez. Bu nedenle, on-prem parolası süresi dolmuş (değiştirilmemiş) bir kullanıcı, eski parolayı kullanarak Azure kaynaklarına erişmeye devam edebilir.
Bir on-prem kullanıcısı bir Azure kaynağına erişmek istediğinde, kimlik doğrulama Azure AD'de gerçekleşir.
PHS, Kimlik Koruma ve AAD Domain Hizmetleri gibi özellikler için gereklidir.
PHS yapılandırıldığında, bazı yetkili hesaplar otomatik olarak oluşturulur:
MSOL_<installationID>
hesabı otomatik olarak on-prem AD'de oluşturulur. Bu hesap, Directory Senkronizasyon Hesapları rolü verilir (bkz. belgeler), yani on-prem AD'de replikasyon (DCSync) izinlerine sahiptir.
Sync_<on-prem ADConnect Sunucusunun adı>_installationID
adında bir hesap Azure AD'de oluşturulur. Bu hesap, Azure AD'deki herhangi bir kullanıcının parolasını sıfırlayabilir (senkronize edilen veya yalnızca bulut) Azure AD'de.
Önceki iki yetkili hesabın parolaları, Azure AD Connect'in yüklü olduğu sunucudaki bir SQL sunucusunda saklanır. Yöneticiler, bu ayrıcalıklı kullanıcıların parolalarını açık metin olarak çıkarabilir.
Veritabanı, C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf
konumunda bulunur.
Bu tablolardan birinden yapılandırmayı çıkarmak mümkündür, bunlardan biri şifrelenmiştir:
SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;
Şifrelenmiş yapılandırma, DPAPI ile şifrelenmiştir ve içinde on-prem AD'deki MSOL_*
kullanıcısının parolalarını ve AzureAD'deki Sync_*'in parolasını içerir. Bu nedenle, bunları ele geçirmek, AD'ye ve AzureAD'ye yükseltme yapmayı mümkün kılar.
Bu konuşmada, bu kimlik bilgilerinin nasıl depolandığı ve şifrelendiği hakkında tam bir genel bakış bulabilirsiniz.
Azure AD Connect'in yüklendiği sunucu etki alanına katılmış ise (belgelerde önerilen), aşağıdaki komutla bulunabilir:
Bu bölümde, Azure AD Connect ile yapılandırılmış bir hibrit kimlik ortamında MSOL_* yetkilendirmelerini kötüye kullanma yöntemlerini ele alacağız.
PHS, Azure AD Connect ile yapılandırılmış bir hibrit kimlik ortamında kullanılan bir özelliktir. Bu özellik, kullanıcıların parola hash'lerini Azure AD'ye senkronize etmelerine olanak tanır. Ancak, bu senkronizasyon sırasında parola hash'leri saldırganlar tarafından ele geçirilebilir.
Saldırganlar, PHS sırasında parola hash'lerini ele geçirmek için çeşitli yöntemler kullanabilirler. Bunlardan bazıları şunlardır:
Pass-the-Hash (PtH) Saldırısı: Saldırganlar, ele geçirdikleri parola hash'lerini kullanarak kimlik doğrulama yapabilirler. Bu sayede, kullanıcının kimlik bilgilerini bilmeksizin sistemlere erişebilirler.
Parola Kırma Saldırısı: Saldırganlar, ele geçirdikleri parola hash'lerini kırarak kullanıcının gerçek parolasını elde etmeye çalışabilirler. Bu sayede, kullanıcının hesabına tam erişim sağlayabilirler.
PHS sızdırma saldırılarına karşı korunmak için aşağıdaki önlemleri almanız önemlidir:
Azure AD Connect sunucusunun güncel olduğundan emin olun.
Parola karma algoritmasının güvenli olduğundan emin olun.
Parola karma algoritmasının karma gücünü artırmak için tuzlama (salt) kullanın.
Parola karma algoritmasının yavaşlatma faktörünü artırın.
Parola karma algoritmasının tekrar sayısını artırın.
Parola karma algoritmasının karma uzunluğunu artırın.
Bu önlemleri alarak, PHS sızdırma saldırılarına karşı daha güvenli bir hibrit kimlik ortamı oluşturabilirsiniz.
Bu kimlik bilgilerini elde etmek için adconnectdump aracını da kullanabilirsiniz.
Sync_*
hesabını ele geçirerek, herhangi bir kullanıcının (Global Yöneticiler dahil) şifresini sıfırlamak mümkündür.
Sadece bulut kullanıcılarının şifrelerini değiştirmek de mümkündür (bu beklenmese de).
Bu kullanıcının şifresini de çalmak mümkündür.
Başka bir seçenek, Sync kullanıcısının yapabileceği ayrıcalıklı izinleri bir hizmet prensibine atamak ve ardından bu hizmet prensibine erişmek suretiyle ayrıcalık yükseltme yapmaktır.
PHS ile Sorunsuz SSO kullanmak mümkündür ve bu da diğer kötüye kullanımlara açıktır. Aşağıdaki bağlantıda kontrol edin: