Az AD Connect - Hybrid Identity
Grundlegende Informationen
Die Integration zwischen On-Premises Active Directory (AD) und Azure AD wird durch Azure AD Connect erleichtert, das verschiedene Methoden zur Unterstützung von Single Sign-On (SSO) bietet. Jede Methode, obwohl nützlich, birgt potenzielle Sicherheitslücken, die ausgenutzt werden könnten, um Cloud- oder On-Premises-Umgebungen zu kompromittieren:
Pass-Through-Authentifizierung (PTA):
Mögliche Kompromittierung des Agents im On-Prem AD, was die Validierung von Benutzerpasswörtern für Azure-Verbindungen ermöglicht (On-Prem zu Cloud).
Möglichkeit, einen neuen Agenten zu registrieren, um Authentifizierungen an einem neuen Standort zu validieren (Cloud zu On-Prem).
Passwort-Hash-Synchronisierung (PHS):
Potenzielle Extraktion von Klartextpasswörtern privilegierter Benutzer aus dem AD, einschließlich Anmeldeinformationen eines hochprivilegierten, automatisch generierten AzureAD-Benutzers.
Föderation:
Diebstahl des privaten Schlüssels, der für die SAML-Signierung verwendet wird, ermöglicht die Identitätsübernahme von On-Premises- und Cloud-Identitäten.
Nahtloses SSO:
Diebstahl des Passworts des Benutzers
AZUREADSSOACC
, das für das Signieren von Kerberos-Silbertickets verwendet wird, ermöglicht die Identitätsübernahme eines beliebigen Cloud-Benutzers.
Cloud-Kerberos-Vertrauen:
Möglichkeit der Eskalation vom Globalen Administrator zum On-Premises-Domänenadministrator durch Manipulation von AzureAD-Benutzernamen und SIDs und Anforderung von TGTs von AzureAD.
Standardanwendungen:
Kompromittierung eines Anwendungsadministratorkontos oder des On-Premise-Synchronisierungskontos ermöglicht die Änderung von Verzeichniseinstellungen, Gruppenmitgliedschaften, Benutzerkonten, SharePoint-Websites und OneDrive-Dateien.
Für jede Integrationsmethode wird eine Benutzersynchronisierung durchgeführt, und ein Konto MSOL_<installationskennung>
wird im On-Prem AD erstellt. Beachtenswert ist, dass sowohl die Methoden PHS als auch PTA Nahtloses SSO ermöglichen, was automatische Anmeldung für Azure AD-Computer ermöglicht, die der On-Prem-Domäne beigetreten sind.
Um die Installation von Azure AD Connect zu überprüfen, kann der folgende PowerShell-Befehl unter Verwendung des AzureADConnectHealthSync-Moduls (standardmäßig mit Azure AD Connect installiert) verwendet werden:
Last updated