Az AD Connect - Hybrid Identity
Informazioni di base
L'integrazione tra Active Directory (AD) in locale e Azure AD è facilitata da Azure AD Connect, che offre vari metodi che supportano Single Sign-on (SSO). Ogni metodo, sebbene utile, presenta potenziali vulnerabilità di sicurezza che potrebbero essere sfruttate per compromettere ambienti cloud o in locale:
Pass-Through Authentication (PTA):
Possibile compromissione dell'agente sull'AD in locale, consentendo la convalida delle password degli utenti per le connessioni Azure (in locale al Cloud).
Possibilità di registrare un nuovo agente per convalidare le autenticazioni in una nuova posizione (Cloud all'in locale).
Password Hash Sync (PHS):
Possibile estrazione delle password in chiaro degli utenti privilegiati dall'AD, inclusa la credenziale di un utente AzureAD generato automaticamente con privilegi elevati.
Federazione:
Furto della chiave privata utilizzata per la firma SAML, consentendo l'usurpazione delle identità in locale e nel cloud.
Seamless SSO:
Furto della password dell'utente
AZUREADSSOACC
, utilizzata per la firma dei biglietti Kerberos silver, consentendo l'usurpazione di qualsiasi utente cloud.
Cloud Kerberos Trust:
Possibilità di scalare da Global Admin a on-prem Domain Admin manipolando i nomi utente e gli SIDs degli utenti AzureAD e richiedendo TGT da AzureAD.
Applicazioni predefinite:
Compromissione di un account amministratore dell'applicazione o dell'account di sincronizzazione in locale consente la modifica delle impostazioni della directory, l'appartenenza ai gruppi, gli account utente, i siti SharePoint e i file di OneDrive.
Per ogni metodo di integrazione, viene eseguita la sincronizzazione degli utenti e viene creato un account MSOL_<installationidentifier>
nell'AD in locale. In particolare, sia i metodi PHS che PTA facilitano Seamless SSO, consentendo l'accesso automatico per i computer di Azure AD associati al dominio in locale.
Per verificare l'installazione di Azure AD Connect, è possibile utilizzare il seguente comando PowerShell, utilizzando il modulo AzureADConnectHealthSync (installato per impostazione predefinita con Azure AD Connect):
Last updated